19/08/2022 12:53 Exercício Avaliativo: Revisão da tentativa

Fundamentos da cursos
Painel / Meus Lei Geral
/
Fundamentos da Lei Geral de Proteção de Dados /
Módulo de Encerramento /
Exercício Avaliativo
de Proteção de Dados

Notas
Área do Participante
Módulo 1: Para entender
Iniciado em terça, 16 ago 2022, 11:50
a LGPD
Estado
Módulo 2: Tratamento de Finalizada
dados
Concluída em terça, 16 ago 2022, 12:01
Módulo 3: Segurança no
tratamento de dados
Tempo
11 minutos 44 segundos
empregado
Módulo 4: LGPD e Serpro
Notas
Módulo de Encerramento 26,00/30,00

Avaliar 86,67 de um máximo de 100,00

 Painel
 Meus cursos
Questão 1 A LGPD se aplica a qual das hipóteses a seguir?
Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do Estado.
b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes. 
c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta celebridade.
d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou transferência.

A alternativa que se aplica à LGPD é a afirmativa “b”, ou seja, “Dados da agenda de seu telefone pessoal, para
contato com clientes e potenciais clientes”.

Questão 2 Qual das hipóteses a seguir NÃO corresponde a dado pessoal?

Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. CPF, matrícula e IP da máquina de um empregado do SESC.
b. Um dado que seja relacionado a um Diretor da IBM, mas que não o torna identificável.
c. Nome, CPF e biometria de íris criptografados e sem possibilidade de reversão.  Por não permitirem a
identificação do seu respectivo Titular, esses dados não ficam sujeitos à aplicação da LGPD.
d. Ficha médica de um empregado do Serpro, mas sem o registro das licenças do último ano.

A alternativa que NÃO corresponde ao dado pessoal é a alternativa “c”, ou seja, “Nome, CPF e biometria de íris
criptografados e sem possibilidade de reversão”.

Questão 3 Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:

Correto (1) indagando quais dados pessoais são tratados,
Atingiu 1,00 de 1,00 (2) comunicando a revogação de seu consentimento e
(3) exigindo a deleção de todos os dados.
Na função de Encarregado, a melhor ação e resposta deve ser:

Escolha uma opção:

a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram devidamente
eliminados. 
b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados porque temos
legítimo interesse no tratamento.
c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da forma
ajustada.
d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas vamos retê-
los ainda por 3 anos que é o prazo de prescrição.

Na função de encarregado, a melhor ação e resposta deve ser “Prezado cliente, seus dados em nosso cadastro
são x, y e z. Conforme solicitado, foram devidamente eliminados”.

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=6285493&cmid=129662 1/5
19/08/2022 12:53 Exercício Avaliativo: Revisão da tentativa

Questão 4 Qual das opções a seguir contém três hipóteses de tratamento de dados?
Correto
Escolha uma opção:
Atingiu 1,00 de 1,00
a. Consentimento, execução de contrato e revogação.

Fundamentos da Lei Geral b. Proteção à vida, legítimo interesse e proteção ao crédito. 

de Proteção de Dados c. Tutela da saúde, necessidade e cumprimento de obrigação legal.

Notas d. Execução de políticas públicas, pesquisa/estudos e adequação à finalidade.

Área do Participante
Módulo 1: Para entender A alternativa “b” contém as três hipóteses de tratamento de dados, OU SEJA: “Proteção à vida, legítimo interesse
a LGPD e proteção ao crédito”. 

Módulo 2: Tratamento de
dados
Módulo 3: Segurança no Marque a situação em que dados pessoais NÃO podem ser transferidos:
tratamento Questão
de dados 5
Correto
Módulo 4: LGPD e Serpro Escolha uma opção:
Atingiu 1,00 de 1,00
Módulo de Encerramento a. Na hipótese de execução de contrato que preveja essa transferência.
b. Quando houver consentimento, genérico ou implícito, em outras disposições contratuais. 
c. Por força da hipótese de exercício regular de direitos.
 Painel
d. Para fins de cooperação jurídica internacional de órgãos públicos de investigação.
 Meus cursos

A situação em que dados pessoais NÃO podem ser transferidos está na alternativa “b”, ou seja: “quando houver
consentimento, genérico ou implícito, em outras disposições contratuais”.

Questão 6 Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Incorreto
Escolha uma opção:
Atingiu 0,00 de 1,00
a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à segurança do sistema
e à privacidade. 
b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de Privacidade, de
Proteção do Consumidor e com o Marco Civil da Internet.
c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de segurança.
d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento com a LGPD.

A alternativa “c” descrita NÃO tem relação com "privacy by design", ou seja: “As equipes de tratamento de
incidentes renovam frequentemente sua infraestrutura de segurança.”

Questão 7 Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais (Brasil) comunicam ao mercado
sua fusão, que ocorrerá em junho daquele ano. Um dos objetivos da fusão é gerar rentabilidade, com a
Correto
unificação e modernização dos atuais sistemas de TI e Rede. Outro objetivo é o fortalecimento do plano de
Atingiu 3,00 de 3,00 fidelização e sua ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de Administração resultante
da fusão designou o Data Center da empresa chilena como responsável pelo tratamento de todas as operações a
partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os clientes das empresas
fundidas e continuará sendo terceirizado para a empresa AlpesData, que já atendia a LATFLY. O
processamento dos dados controlados no Brasil continuará sendo feito, por enquanto, pela própria BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de fusão, assinale a alternativa
ERRADA:

Escolha uma opção:

a. Enquanto a fusão não se consumar, o Operador do segmento chileno é a AlpesData e o Operador do

segmento brasileiro é o próprio Controlador.
b. Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo Operadora dos dados pessoais que
trata. 
c. Quando houver a fusão, a Empresa resultante será o Controlador e a AlpesData será o Operador de
dados pessoais.
d. Enquanto a fusão não se consumar, a Empresa Aérea chilena será Controlador dos dados pessoais e a
AlpesData será Operador.

A alternativa errada está na letra “b”, ou seja: “Enquanto a fusão não ocorrer, cada empresa aérea continuará
sendo operadora dos dados pessoais que trata”. 

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=6285493&cmid=129662 2/5
19/08/2022 12:53
Questão 8
Correto
Atingiu 3,00 de 3,00
Fundamentos da Lei Geral
de Proteção de Dados
Notas
Área do Participante
Módulo 1: Para entender
a LGPD
Módulo 2: Tratamento de
dados
Módulo 3: Segurança no
tratamento de dados
Módulo 4: LGPD e Serpro
Módulo de Encerramento
Questão 9
Correto
 Painel
Atingiu 3,00 de 3,00
 Meus cursos
Questão 10
Correto
Atingiu 3,00 de 3,00
https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=6285493&cmid=129662
Exercício Avaliativo: Revisão da tentativa
Ainda em relação à fusão das empresas LATFLY (Chile) e BRAirwais (Brasil), com a unificação dos dados pessoais
no Chile, considerando que o Chile não guarda o mesmo nível de proteção de dados, assinale a alternativa
CORRETA:
Escolha uma opção:
a. Haverá transferência internacional de dados que demandará obrigatoriamente consentimento dos
Titulares brasileiros.
b. Haverá transferência internacional de dados, mas a LGPD não se aplicará aos dados tratados no Chile,
porque o tratamento se dá no exterior.
c. A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD é pacífica, em
razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil. 
d. A transferência não ocorre. O que existe é o mero compartilhamento entre as empresas e a Lei aplicável
é a chilena.
A alternativa correta é: “A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD
é pacífica, em razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil”.
A ONG InfosecSwift recebeu uma denúncia anônima.
Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do Plano de Previdência do
Banco Produção Rural: o BPRPrevidência, que conta com mais de 150 mil contribuintes.
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados pessoais dos participantes
e, além disso, permite que o invasor possa editar e cadastrar beneficiários como se fosse o próprio titular da
conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a mesma URL e substituir
aleatoriamente o número sequencial do participante, que aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço físico completo, CPF,
data de nascimento, e-mail, telefone, nome da entidade para a qual o participante pretenda fazer uma
portabilidade, o tipo de plano e o CNPJ da empresa patrocinadora, identificação do valor bruto disponível na
conta e até transfência desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de
beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do saldo da conta para este
novo beneficiário.
O relato envolvendo a BPRPrevidência descreve:
Escolha uma opção:
a. Uma simples falha de segurança.
b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema.
c. Um incidente de segurança da informação e a violação de dados.  Sim, um incidente de segurança
consumado se deu com o "teste de invasão" relatado pelo hacker, com exposição de dados pessoais:
portanto houve uma violação com quebra de confidencialidade.
d. Uma violação de dado sensível.
O relato envolvendo a BPRPrevidência descreve um incidente de segurança da informação e a violação de
dados.
Ainda sobre o caso da BRPrevidência, o número do CNPJ constante no relato:
Escolha uma opção:
a. É exclusivamente um dado de pessoa jurídica.
b. É um dado pessoal.  Sim, é um dado pessoal. Dado pessoal é qualquer informação relacionada a
uma pessoa identificada ou identificável. Se eu digo "João Trabalha na Latam", a informação do emprego de
João é um dado pessoal. Assim, o CNPJ da patrocinadora de um plano de previdência, associado a uma
transação do titular representa um dado pessoal, se devidamente contextualizado.
c. É um dado pessoal sensível.
d. Não é dado, mas uma informação.
No caso da BRPrevidência, o número do CNPJ constante no relato é um dado pessoal. 
3/5
19/08/2022 12:53 Exercício Avaliativo: Revisão da tentativa

Questão 11 No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a:
Correto

Atingiu 3,00 de 3,00 Escolha uma opção:

a. Controlador, operador e titular.

Fundamentos da Lei Geral
b. Terceiro, controlador e encarregado.
de Proteção de Dados
c. Terceiro, controlador e titular.  Resposta correta. A Empresa Patrocinadora é um "terceiro", o Plano é
Notas "controlador" e o beneficiário é o "titular".
Área do Participante d. Autoridade supervisora, operador e consumidor.
Módulo 1: Para entender
a LGPD

Módulo 2: Tratamento de No relato sobre a BPRPrevidência, empresa patrocinadora, plano de previdência e beneficiário, referem-se 
respectivamente, a Terceiro, controlador e titular. 

dados
Módulo 3: Segurança no
tratamento de dados
Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados considerados
Módulo 4: Questão 12
LGPD e Serpro
desnecessários, para reduzir o risco de violação, isso atenderia a qual princípio?
Correto
Módulo de Encerramento
Atingiu 3,00 de 3,00 Escolha uma opção:

a. Prevenção da futilidade
 Painel b. Autodeterminação informativa
 Meus cursos c. Transparência
d. Necessidade  O princípio da necessidade responde à boa prática de coletar e tratar apenas os dados
necessários à realização de suas finalidades.

O princípio atendido seria o da necessidade, portanto, alternativa “d”. 

Questão 13 Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da ONG InfosecSwift
fazendo a denúncia inicial e exigindo providências.
Correto
Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do Encarregado - DPO:
Atingiu 3,00 de 3,00

Escolha uma opção:

a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação, avisaria

imediatamente os 150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus dados sensíveis.
c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e determinaria
uma forense para avaliar as dimensões e confirmar fatos. 
d. Oficiaria a Autoridade Nacional para informar que houve o incidente com violação de dados, mas não
houve prejuízos materiais de qualquer natureza.

Na qualidade de Encarregado, ao receber a notícia em questão, a primeira providência seria informar o Board e
convocar as equipes de comunicação e de tratamento de incidentes.
Determinaria que fosse verificada a factibilidade do ocorrido à equipe de tratamento e pediria à equipe de
comunicação que se mantivesse a postos para a imediata comunicação aos titulares e ao público, conforme o
resultado da forense determinada.
 
A conduta mais razoável do Encarregado – DPO seria informar a Diretoria da Empresa, alertar a equipe de
comunicação para estar a postos e determinar uma forense para avaliar as dimensões e confirmar fatos,
portanto alternativa “c”. 

Questão 14 Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar um incidente
como esse, envolvendo a BPRPrevidência?
Incorreto

Atingiu 0,00 de 3,00 Escolha uma opção:

a. Contrato de consultoria e aquisição de criptografia. 

b. Análise de impacto e equipe de classificação de dados.
c. Plano de Comunicação e Plano de Continuidade.
d. Programa de Segurança e Política de Privacidade.

Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância
necessária para o momento de enfrentar uma crise como a relatada na atividade.
Esses itens são importantes para a segurança da informação ou para a privacidade, mas não têm a relevância
necessária para o momento de enfrentar uma crise como a relatada na atividade.

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=6285493&cmid=129662 4/5
19/08/2022 12:53 Exercício Avaliativo: Revisão da tentativa

◄ Módulo 4 - LGPD e Serpro Seguir para... Avaliação de Satisfação com o Curso ►

Fundamentos da Lei Geral

de Proteção de Dados

Notas
Área do Participante
Módulo 1: Para entender
a LGPD

Módulo 2: Tratamento de
dados
Módulo 3: Segurança no
tratamento de dados

Módulo 4: LGPD e Serpro

Módulo de Encerramento

 Painel
 Meus cursos

https://mooc38.escolavirtual.gov.br/mod/quiz/review.php?attempt=6285493&cmid=129662 5/5