CURSO Lei Geral de Proteção de Dados – LPGD

 Modulo 1 e 2 concluido

Governança de Segurança da Informação

Segurança de Ativos (incluindo “classificação”)

Gestão, Risco e Conformidade de SI

Gestão de Continuidade do Negócio

Segurança de Comunicação e Infraestrutura de Rede (incluindo controle

de acesso e gestão de identidade)

Operações de segurança (incluindo tratamento de incidentes,

recuperação de desastres, forense computacional)

Segurança de Dados (incluindo Criptografia) e

Desenvolvimento Seguro.

Questão 1
Ainda não respondida
Vale 1,00 ponto(s).
Texto da questão

A LGPD se aplica a qual das hipóteses a seguir?

Escolha uma opção:

a. Dados relativos a investigação policial, segurança pública, defesa nacional e segurança do

Estado.

b. Dados da agenda de seu telefone pessoal, para contato com clientes e potenciais clientes.

c. Dados pessoais tratados em atividade jornalística e dados biográficos de uma alta

celebridade.

d. Dados provenientes de uma empresa francesa e tratados aqui sem compartilhamento ou

transferência.
 Questão 2
Ainda não respondida
Vale 1,00 ponto(s).
Texto da questão

Qual das hipóteses a seguir NÃO corresponde a dado pessoal?

Escolha uma opção:

a. CPF, matrícula e IP da máquina de um empregado do SESC.

b. Um dado que seja relacionado a um Diretor da IBM, mas que não o torna identificável.

c. Nome, CPF e biometria de íris criptografados e sem possibilidade de reversão.

d. Ficha médica de um empregado do Serpro, mas sem o registro das licenças do último ano.
Questão 3
Ainda não respondida
Vale 1,00 ponto(s).
Texto da questão

Você é o Encarregado de uma Rede de Farmácias e recebe e-mail de um cliente:

(1) indagando quais dados pessoais são tratados,

(2) comunicando a revogação de seu consentimento e

(3) exigindo a deleção de todos os dados.

Na função de Encarregado, a melhor ação e resposta deve ser:

Escolha uma opção:

a. Prezado cliente, seus dados em nosso cadastro são x, y e z. Conforme solicitado, foram
devidamente eliminados.

b. Prezado cliente, seus dados em nosso cadastro são x, y e z, mas não serão eliminados
porque temos legítimo interesse no tratamento.

c. Prezado cliente, o tratamento faz parte de nosso contrato e nós o estamos executando da
forma ajustada.

d. Prezado cliente, tratamos seu nome e CPF e acatamos a revogação do consentimento, mas
vamos retê-los ainda por 3 anos que é o prazo de prescrição.
Questão 4
Ainda não respondida
Vale 1,00 ponto(s).
Texto da questão

Qual das opções a seguir contém três hipóteses de tratamento de dados?

Escolha uma opção:

a. Consentimento, execução de contrato e revogação.

b. Proteção à vida, legítimo interesse e proteção ao crédito.

c. Tutela da saúde, necessidade e cumprimento de obrigação legal.

d. Execução de políticas públicas, pesquisa/estudos e adequação à finalidade.

Questão 5
 Ainda não respondida
Vale 1,00 ponto(s).
Texto da questão

Marque a situação em que dados pessoais NÃO podem ser transferidos:

Escolha uma opção:

a. Na hipótese de execução de contrato que preveja essa transferência.

b. Quando houver consentimento, genérico ou implícito, em outras disposições contratuais.

c. Por força da hipótese de exercício regular de direitos.

d. Para fins de cooperação jurídica internacional de órgãos públicos de investigação.

Qual das práticas descritas a seguir NÃO tem relação com "privacy by design"?
Escolha uma opção:

a. Os desenvolvedores atuam, desde a definição de arquitetura, avaliando os riscos à

segurança do sistema e à privacidade.

b. Os processos de negócio contêm checagem preliminar de conformidade com as Leis de

Privacidade, de Proteção do Consumidor e com o Marco Civil da Internet.

c. As equipes de tratamento de incidentes renovam frequentemente sua infraestrutura de

segurança.

d. Os processos de aquisição já preveem, em editais e contratos, cláusulas de alinhamento

com a LGPD.

Questão 7
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão

Na primeira semana de janeiro de 2021, as empresas LATFLY (Chile) e BRAirwais

(Brasil) comunicam ao mercado sua fusão, que ocorrerá em junho daquele ano. Um dos
objetivos da fusão é gerar rentabilidade, com a unificação e modernização dos atuais
sistemas de TI e Rede. Outro objetivo é o fortalecimento do plano de fidelização e sua
ampliação.
Os serviços de pessoal e a área comercial serão fundidos e (re)localizados na antiga sede
brasileira.
Para mitigar os riscos de possíveis violações de dados de seus clientes, o Conselho de
Administração resultante da fusão designou o Data Center da empresa chilena como
responsável pelo tratamento de todas as operações a partir de junho.
O Data Center chileno fará o tratamento dos dados corporativos e pessoais de todos os
clientes das empresas fundidas e continuará sendo terceirizado para a empresa
AlpesData, que já atendia a LATFLY. O processamento dos dados controlados no
Brasil continuará sendo feito, por enquanto, pela própria BRAirways.
Considerando que você é o Encarregado das duas empresas em processo de fusão,
assinale a alternativa ERRADA:
Escolha uma opção:

a. Enquanto a fusão não se consumar, o Operador do segmento chileno é a AlpesData e o

Operador do segmento brasileiro é o próprio Controlador.

b. Enquanto a fusão não ocorrer, cada empresa aérea continuará sendo Operadora dos dados
pessoais que trata.

c. Quando houver a fusão, a Empresa resultante será o Controlador e a AlpesData será o

Operador de dados pessoais.

d. Enquanto a fusão não se consumar, a Empresa Aérea chilena será Controlador dos dados
pessoais e a AlpesData será Operador.

Questão 8
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão

Ainda em relação à fusão das empresas LATFLY (Chile) e BRAirwais (Brasil), com a
unificação dos dados pessoais no Chile, considerando que o Chile não guarda o mesmo
nível de proteção de dados, assinale a alternativa CORRETA:
Escolha uma opção:

a. Haverá transferência internacional de dados que demandará obrigatoriamente

consentimento dos Titulares brasileiros.

b. Haverá transferência internacional de dados, mas a LGPD não se aplicará aos dados tratados
no Chile, porque o tratamento se dá no exterior.

c. A transferência poderá se dar com fundamento no Art. 33, II ou V e a aplicação da LGPD é
pacífica, em razão dos titulares aqui localizados e em razão de que a coleta se deu no Brasil.

d. A transferência não ocorre. O que existe é o mero compartilhamento entre as empresas e a
Lei aplicável é a chilena.

Questão 9
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão
A ONG InfosecSwift recebeu uma denúncia anônima.
Nela, o hacker denunciante informa que descobriu uma vulnerabilidade na gestão do
Plano de Previdência do Banco Produção Rural: o BPRPrevidência, que conta com mais
de 150 mil contribuintes.
A falha, segundo o denunciante, permite que qualquer pessoa tenha acesso a dados
pessoais dos participantes e, além disso, permite que o invasor possa editar e cadastrar
beneficiários como se fosse o próprio titular da conta.
A partir de um link de qualquer conta do BPRPrevidência, o atacante só precisa usar a
mesma URL e substituir aleatoriamente o número sequencial do participante, que
aparece no fim do endereço.
Com isso, o atacante pode chegar aos seguintes dados do cadastrado: nome, endereço
físico completo, CPF, data de nascimento, e-mail, telefone, nome da entidade para a
qual o participante pretenda fazer uma portabilidade, o tipo de plano e o CNPJ da
empresa patrocinadora, identificação do valor bruto disponível na conta e até transfência
desse valor para beneficiários cadastrados. Esse acesso permite, ainda, a exclusão de
beneficiários já existentes e a inclusão de um novo beneficiário, com a transferência do
saldo da conta para este novo beneficiário.
O relato envolvendo a BPRPrevidência descreve:
Escolha uma opção:

a. Uma simples falha de segurança.

b. Uma falha de segurança em perspectiva e uma vulnerabilidade do sistema.

c. Um incidente de segurança da informação e a violação de dados.

d. Uma violação de dado sensível.

Questão 10
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão

Ainda sobre o caso da BRPrevidência, o número do CNPJ constante no relato:

Escolha uma opção:

a. É exclusivamente um dado de pessoa jurídica.

b. É um dado pessoal.

Questão 11
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão

No relato sobre a BPRPrevidência, empresa patrocinadora, plano de

previdência e beneficiário, referem-se  respectivamente, a:

Escolha uma opção:

a. Controlador, operador e titular.

b. Terceiro, controlador e encarregado.

c. Terceiro, controlador e titular.

d. Autoridade supervisora, operador e consumidor.

Questão 12
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão

Se, a partir do incidente, o BPRPrevidência decidir eliminar a coleta de alguns dados

considerados desnecessários, para reduzir o risco de violação, isso atenderia a qual princípio?

Escolha uma opção:

a. Prevenção da futilidade

b. Autodeterminação informativa

c. Transparência

d. Necessidade

Questão 13
Ainda não respondida

Vale 3,00 ponto(s).

Texto da questão

Agora, imagine-se na condição de Encarregado da BPRPrevidência: você recebeu o ofício da

ONG InfosecSwift fazendo a denúncia inicial e exigindo providências.

Em matéria de notificações, avisos e comunicação, marque qual a conduta mais razoável do

Encarregado - DPO:

Escolha uma opção:

a. Publicaria o relato do ocorrido no Diário Oficial e em um periódico de grande circulação,

avisaria imediatamente os 150.000 titulares e demandaria uma forense computacional.
b. Avisaria, em primeiro lugar, os titulares, em vista do alto risco a que estão expostos seus
dados sensíveis.

c. Informaria a Diretoria da Empresa, alertaria a equipe de comunicação para estar a postos e

determinaria uma forense para avaliar as dimensões e confirmar fatos.

d. Oficiaria a Autoridade Nacional para informar que houve o incidente com violação de dados,
mas não houve prejuízos materiais de qualquer natureza.

Questão 14
Resposta salva

Vale 3,00 ponto(s).

Texto da questão

Qual alternativa apresenta os 2 elementos de maior importância para o momento de enfrentar

um incidente como esse, envolvendo a BPRPrevidência?

Escolha uma opção:

a. Contrato de consultoria e aquisição de criptografia.

b. Análise de impacto e equipe de classificação de dados.

c. Plano de Comunicação e Plano de Continuidade.

d. Programa de Segurança e Política de Privacidade.