29/10/2021 10:19 Exercício Avaliativo: Revisão da tentativa

Painel / Meus cursos /

Fundamentos da LGPD /
Módulo de Encerramento /
Exercício Avaliativo

Iniciado em sexta, 29 out 2021, 09:43

Estado Finalizada

Concluída em sexta, 29 out 2021, 10:07

Tempo
23 minutos 49 segundos
empregado

Notas 11,00/30,00

Avaliar 36,67 de um máximo de 100,00

Questão 1 A LGPD se aplica a qual das hipóteses a seguir?

Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do Estado.
b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes. 
c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta celebridade.
d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou transferência.

A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda de seu telefone pessoal, para
contato com clientes e potenciais clientes”.

Questão 2 Qual das hipóteses a seguir NÃO corresponde a dado pessoal?

Incorreto
Escolha uma opção:
Atingiu 0,00 de 1,00
a. CPF, matrícula e IP da máquina de um empregado do SESC.
b. Um dado que seja relacionado a um Diretor da IBM, mas que não o torna identificável.
c. Nome, CPF e biometria de íris criptografados e sem possibilidade de reversão.
d. Ficha médica de um empregado do Serpro, mas sem o registro das licenças do último ano. 

A alternativa que NÃO corresponde ao dado pessoal é a alternativa “c”, ou seja, “Nome, CPF e biometria de íris
criptografados e sem possibilidade de reversão”.

Questão 3 Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:

Correto (1) indagando quais dados pessoais são tratados,
Atingiu 1,00 de 1,00 (2) comunicando a revogação de seu consentimento e
(3) exigindo a deleção de todos os dados.
Na função de Encarregado, a melhor ação e resposta deve ser:

Escolha uma opção:

a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente
eliminados. 
b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados porque temos
legítimo interesse no tratamento.
c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da forma
ajustada.
d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas vamos retê-
los ainda por 3 anos que é o prazo de prescrição.

Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente, seus dados em nosso cadastro
são x, y e z. Conforme solicitado, foram devidamente eliminados”.

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=2817893&cmid=55427 1/5
29/10/2021 10:19 Exercício Avaliativo: Revisão da tentativa

Questão 4 Qual das opções a seguir contém três hipóteses de tratamento de dados?
Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. Consentimento, execução de contrato e revogação.
b. Proteção à vida, legítimo interesse e proteção ao crédito. 
c. Tutela da saúde, necessidade e cumprimento de obrigação legal.
d. Execução de políticas públicas, pesquisa/estudos e adequação à finalidade.

A alternativa “b” contém as três hipóteses de tratamento de dados, OU SEJA: “Proteção à vida, legítimo interesse
e proteção ao crédito”. 

Questão 5 Marque a situação em que dados pessoais NÃO podem ser transferidos:
Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. Na hipótese de execução de contrato que preveja essa transferência.
b. Quando houver consentimento, genérico ou implícito, em outras disposições contratuais. 
c. Por força da hipótese de exercício regular de direitos.
d. Para fins de cooperação jurídica internacional de órgãos públicos de investigação.

A situação em que dados pessoais NÃO podem ser transferidos está na alternativa “b”, ou seja: “quando houver
consentimento, genérico ou implícito, em outras disposições contratuais”.

Questão 6 Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à segurança do sistema
e à privacidade.
b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de Privacidade, de
Proteção do Consumidor e com o Marco Civil da Internet.
c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança. 
d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento com a LGPD.

A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As equipes de tratamento de
incidentes renovam frequentemente sua infraestrutura de segurança.”

Questão 7 Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais (Brasil) comunicam ao mercado
sua fusão, que ocorrerá em junho daquele ano. Um dos objetivos da fusão é gerar rentabilidade, com a
Incorreto
unificação e modernização dos atuais sistemas de TI e Rede. Outro objetivo é o fortalecimento do plano de
Atingiu 0,00 de 3,00 fidelização e sua ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de Administração resultante
da fusão designou o Data Center da empresa chilena como responsável pelo tratamento de todas as operações
a partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os clientes das empresas
fundidas e continuará sendo terceirizado para a empresa AlpesData, que já atendia a LATFLY. O
processamento dos dados controlados no Brasil continuará sendo feito, por enquanto, pela própria BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de fusão, assinale a alternativa
ERRADA:

Escolha uma opção:

a. Enquanto a fusão não se consumar, o Operador do segmento chileno é a AlpesData e o Operador do

segmento brasileiro é o próprio Controlador.
b. Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo Operadora dos dados pessoais que
trata.
c. Quando houver a fusão, a Empresa resultante será o Controlador e a AlpesData será o Operador de
dados pessoais.
d. Enquanto a fusão não se consumar, a Empresa Aérea chilena será Controlador dos dados pessoais e a
AlpesData será Operador. 

A alternativa errada está na letra “b”, ou seja: “Enquanto a fusão não ocorrer, cada empresa aérea continuará
sendo operadora dos dados pessoais que trata”. 

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=2817893&cmid=55427 2/5
29/10/2021 10:19 Exercício Avaliativo: Revisão da tentativa

Questão 8 Ainda em relação à fusão das empresas LATFLY (Chile) e BRAirwais (Brasil), com a unificação dos dados pessoais
no Chile, considerando que o Chile não guarda o mesmo nível de proteção de dados, assinale a alternativa
Incorreto
CORRETA:
Atingiu 0,00 de 3,00
Escolha uma opção:

a. Haverá transferência internacional de dados que demandará obrigatoriamente consentimento dos

Titulares brasileiros.
b. Haverá transferência internacional de dados, mas a LGPD não se aplicará aos dados tratados no Chile,
porque o tratamento se dá no exterior. 
c. A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD é pacífica, em
razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil.
d. A transferência não ocorre. O que existe é o mero compartilhamento entre as empresas e a Lei aplicável
é a chilena.

A alternativa correta é: “A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD
é pacífica, em razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil”.

Questão 9 A ONG InfosecSwift recebeu uma denúncia anônima.

Incorreto Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do Plano de Previdência do
Banco Produção Rural: o BPRPrevidência, que conta com mais de 150 mil contribuintes.
Atingiu 0,00 de 3,00
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes
e, além disso, permite que o invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da
conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir
aleatoriamente o número sequencial do participante, que aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF,
data de nascimento, e-mail, telefone, nome da entidade para a qual o participante pretenda fazer uma
portabilidade, o tipo de plano e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível na
conta e até transfência desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de
beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do saldo da conta para este
novo beneficiário.
O relato envolvendo a BPRPrevidência descreve:

Escolha uma opção:

a. Uma simples falha de segurança.

b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema.  A falha de segurança
não é "em perspectiva" pois a vulnerabilidade do sistema foi explorada no mínimo para teste das
possibilidades. E também não se tratou de mera vulnerabilidade, pois a invasão expôs o Estado e já
significou o próprio incidente consumado.
c. Um incidente de segurança da informação e a violação de dados.
d. Uma violação de dado sensível.

O relato envolvendo a BPRPrevidência descreve um incidente de segurança da informação e a violação de

dados.

Questão 10 Ainda sobre o caso da BRPrevidência, o número do CNPJ constante no relato:

Incorreto
Escolha uma opção:
Atingiu 0,00 de 3,00
a. É exclusivamente um dado de pessoa jurídica.
b. É um dado pessoal.
c. É um dado pessoal sensível.
d. Não é dado, mas uma informação.  Sem dúvida é uma "informação", porque identifica um
contribuinte pessoa jurídica. Mas também é um "dado", já que integra uma outra cadeia de informação
ligada à pessoa natural do titular, beneficiária do plano, somando-se à sua idade, endereço etc.

No caso da BRPrevidência, o número do CNPJ constante no relato é um dado pessoal. 

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=2817893&cmid=55427 3/5
29/10/2021 10:19 Exercício Avaliativo: Revisão da tentativa

Questão 11 No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a:
Correto

Atingiu 3,00 de 3,00 Escolha uma opção:

a. Controlador, operador e titular.

b. Terceiro, controlador e encarregado.
c. Terceiro, controlador e titular.  Resposta correta. A Empresa Patrocinadora é um "terceiro", o Plano é
"controlador" e o beneficiário é o "titular".
d. Autoridade supervisora, operador e consumidor.

No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 

respectivamente, a Terceiro, controlador e titular. 

Questão 12 Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados considerados
desnecessários, para reduzir o risco de violação, isso atenderia a qual princípio?
Correto

Atingiu 3,00 de 3,00 Escolha uma opção:

a. Prevenção da futilidade
b. Autodeterminação informativa
c. Transparência
d. Necessidade  O princípio da necessidade responde à boa prática de coletar e tratar apenas os dados
necessários à realização de suas finalidades.

O princípio atendido seria o da necessidade, portanto, alternativa “d”. 

Questão 13 Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift
fazendo a denúncia inicial e exigindo providências.
Incorreto
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
Atingiu 0,00 de 3,00

Escolha uma opção:

a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria

imediatamente os 150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.

c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria
uma forense para avaliar as dimensões e confirmar fatos.
d. Oficiaria a Autoridade Nacional para informar que houve o incidente com violação de dados, mas não
houve prejuízos materiais de qualquer natureza.

A conduta mais razoável do Encarregado – DPO seria informar a Diretoria da Empresa, alertar a equipe de
comunicação para estar a postos e determinar uma forense para avaliar as dimensões e confirmar fatos,
portanto alternativa “c”. 

Questão 14 Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar um incidente
como esse, envolvendo a BPRPrevidência?
Incorreto

Atingiu 0,00 de 3,00 Escolha uma opção:

a. Contrato de consultoria e aquisição de criptografia.

b. Análise de impacto e equipe de classificação de dados.
c. Plano de Comunicação e Plano de Continuidade.
d. Programa de Segurança e Política de Privacidade. 

Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância
necessária para o momento de enfrentar uma crise como a relatada na atividade.
Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância
necessária para o momento de enfrentar uma crise como a relatada na atividade.

◄ Módulo 4 - LGPD e Serpro Seguir para... Avaliação de Satisfação com o Curso ►

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=2817893&cmid=55427 4/5
29/10/2021 10:19 Exercício Avaliativo: Revisão da tentativa

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=2817893&cmid=55427 5/5