Arts. 86 a 93 Flashcards
Proteção de Dados em Serventias Extrajudiciais - Revisão de Contratos
Analise os itens a seguir:
I. As serventias extrajudiciais devem revisar todos os contratos celebrados com seus empregados, incluindo a obrigatoriedade de respeito às normas de privacidade e proteção de dados.
II. A revisão dos modelos de minutas de contratos e convênios externos deve abranger apenas os documentos futuros, não sendo necessário examinar contratos já existentes.
III. Os responsáveis pelas serventias extrajudiciais deverão exigir de seus fornecedores de tecnologia a adequação às exigências da LGPD quanto aos sistemas utilizados.
IV. As cláusulas de descarte de dados pessoais devem ser incluídas nos contratos, convênios e instrumentos congêneres, conforme os parâmetros da finalidade pública.
VERDADEIRO - Item I. Conforme o Art. 86, inciso I, a serventia deverá “revisar todos os contratos celebrados com os seus empregados, incluindo a obrigatoriedade de respeito às normas de privacidade e proteção de dados nos contratos ou em regulamentos internos”.
FALSO - Item II. De acordo com o Art. 86, inciso II, a serventia deverá “revisar os modelos existentes de minutas de contratos e convênios externos, que envolvam atividades de tratamento de dados pessoais, incluindo compartilhamento de dados”, portanto, devem ser revisados também os modelos já existentes.
VERDADEIRO - Item III. Segundo o Art. 87, “Os responsáveis pelas serventias extrajudiciais deverão exigir de seus fornecedores de tecnologia, de automação e de armazenamento a adequação às exigências da LGPD quanto aos sistemas e programas de gestão de dados internos utilizados”.
VERDADEIRO - Item IV. O Art. 86, inciso IV, estabelece que a serventia deverá “incluir cláusulas de descarte de dados pessoais nos contratos, convênios e instrumentos congêneres, conforme os parâmetros da finalidade (pública) e as necessidades acima indicadas”.
Designação do Encarregado pelo Tratamento de Dados Pessoais
Analise os itens a seguir:
I. Os responsáveis pelas serventias extrajudiciais podem terceirizar o exercício da função de encarregado mediante a contratação de pessoa física ou jurídica.
II. A função do encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro.
III. A nomeação do encarregado será promovida mediante contrato verbal, com registro posterior em ata na serventia.
IV. A nomeação de encarregado afasta parcialmente o dever de atendimento pelo responsável pela delegação quando solicitado pelo titular dos dados pessoais.
VERDADEIRO - Item I. De acordo com o Art. 88, inciso I, “os responsáveis pelas serventias extrajudiciais poderão terceirizar o exercício da função de encarregado mediante a contratação de prestador de serviços, pessoa física ou pessoa jurídica, desde que apto ao exercício da função”.
VERDADEIRO - Item II. Conforme o Art. 88, inciso II, “a função do encarregado não se confunde com a do responsável pela delegação dos serviços extrajudiciais de notas e de registro”.
FALSO - Item III. O Art. 88, inciso III, estabelece que “a nomeação do encarregado será promovida mediante contrato escrito, a ser arquivado em classificador próprio, de que participarão o controlador, na qualidade de responsável pela nomeação, e o encarregado”, exigindo, portanto, contrato escrito e não verbal.
FALSO - Item IV. Segundo o Art. 88, inciso IV, “a nomeação de encarregado não afasta o dever de atendimento pelo responsável pela delegação dos serviços extrajudiciais de notas e de registro, quando for solicitado pelo titular dos dados pessoais”, ou seja, o dever permanece integralmente.
Procedimentos para Gestão de Dados em Serventias Extrajudiciais
Analise os itens a seguir:
I. A serventia deve elaborar “Termos de Tratamento de Dados Pessoais” para assinatura com os operadores, incluindo informações sobre quais dados são tratados e para quais finalidades.
II. Procedimentos de auditoria regulares são opcionais para a gestão de terceiros com quem houver compartilhamento de dados pessoais.
III. As orientações para contratações futuras devem ser elaboradas visando à conformidade com a lei de regência.
IV. O “Termo de Tratamento de Dados Pessoais” deve ser assinado com os operadores apenas quando os dados compartilhados forem sensíveis.
VERDADEIRO - Item I. Conforme o Art. 86, inciso III, a serventia deve “elaborar ‘Termos de Tratamento de Dados Pessoais’ para assinatura com os operadores, sempre que possível, incluindo as informações sobre quais dados pessoais são tratados, quem são os titulares dos dados tratados, para quais finalidades e quais são os limites do tratamento”.
FALSO - Item II. De acordo com o Art. 86, inciso VI, a serventia deve “criar procedimentos de auditoria regulares para realizar a gestão de terceiros com quem houver o compartilhamento de dados pessoais”, sendo, portanto, obrigatórios e não opcionais.
VERDADEIRO - Item III. Segundo o Art. 86, inciso V, a serventia deve “elaborar orientações e procedimentos para as contratações futuras, no intuito de deixá-los em conformidade com a lei de regência”.
FALSO - Item IV. O Art. 86, inciso III, estabelece que o Termo deve ser assinado “sempre que possível”, sem restringir apenas aos dados sensíveis, abrangendo todos os tipos de dados pessoais tratados.
Contratação Conjunta do Encarregado de Proteção de Dados
Analise os itens a seguir:
I. Serventias de todas as classes são obrigadas a designar encarregado de proteção de dados de maneira individual, sendo vedada a contratação conjunta.
II. A nomeação e contratação do encarregado de Proteção de Dados Pessoais pelas serventias será de livre escolha do titular das serventias.
III. Apenas serventias classificadas como “Classe I” e “Classe II” poderão designar encarregado de maneira conjunta.
IV. É possível a contratação independente de um mesmo encarregado por serventias de qualquer classe, desde que demonstrável a inexistência de conflito na cumulação de funções.
FALSO - Item I. O Art. 88, § 1.º, estabelece que “Serventias classificadas como ‘Classe I’ e ‘Classe II’ pelo Capítulo I do Título I do Livro IV da Parte Geral deste Código Nacional de Normas, da Corregedoria Nacional de Justiça, poderão designar encarregado de maneira conjunta”, permitindo a contratação conjunta em determinadas situações.
VERDADEIRO - Item II. Conforme o Art. 88, § 2.º, “A nomeação e contratação do encarregado de Proteção de Dados Pessoais pelas serventias será de livre escolha do titular das serventias, podendo, eventualmente, ser realizada de forma conjunta, ou ser subsidiado ou custeado pelas entidades de classe”.
VERDADEIRO - Item III. De acordo com o Art. 88, § 1.º, apenas “Serventias classificadas como ‘Classe I’ e ‘Classe II’ pelo Capítulo I do Título I do Livro IV da Parte Geral deste Código Nacional de Normas, da Corregedoria Nacional de Justiça, poderão designar encarregado de maneira conjunta”.
VERDADEIRO - Item IV. Segundo o Art. 88, § 3.º, “Não há óbice para a contratação independente de um mesmo encarregado por serventias de qualquer classe, desde que demonstrável a inexistência de conflito na cumulação de funções e a manutenção da qualidade dos serviços prestados”.
Elaboração do Relatório de Impacto à Proteção de Dados Pessoais
Analise os itens a seguir:
I. O Relatório de Impacto à Proteção de Dados Pessoais deve ser elaborado previamente à adoção de novos procedimentos ou novas tecnologias.
II. Não há obrigatoriedade de franquear aos afetados a possibilidade de se manifestarem a respeito do conteúdo do Relatório de Impacto.
III. O Relatório de Impacto deve adotar metodologia que resulte na indicação de medidas, salvaguardas e mecanismos de mitigação de risco.
IV. O Relatório deve ser elaborado previamente ao contrato ou convênio que seja objeto da avaliação feita por meio do documento.
VERDADEIRO - Item I. De acordo com o Art. 89, inciso IV, é necessário “elaborar o documento previamente à adoção de novos procedimentos ou novas tecnologias”.
FALSO - Item II. Conforme o Art. 89, inciso III, é necessário “franquear, a título de transparência, aos afetados a possibilidade de se manifestarem a respeito do conteúdo”, sendo, portanto, obrigatório garantir essa manifestação.
VERDADEIRO - Item III. Segundo o Art. 89, inciso I, é necessário “adotar metodologia que resulte na indicação de medidas, salvaguardas e mecanismos de mitigação de risco”.
VERDADEIRO - Item IV. O Art. 89, inciso II, estabelece que é necessário “elaborar o documento previamente ao contrato ou convênio que seja objeto da avaliação feita por meio do Relatório”.
Modelos de Relatório de Impacto conforme a Classe da Serventia
Analise os itens a seguir:
I. Todas as serventias devem adotar o mesmo modelo completo de Relatório de Impacto, independentemente de sua classificação.
II. As entidades representativas de classe podem fornecer modelos, formulários e programas de informática adaptados para cada especialidade de serventia para elaboração do Relatório de Impacto.
III. Na ausência de metodologia simplificada, as Serventias Classe I e II deverão adotar o Relatório completo.
IV. Serventias Classe III podem optar por adotar o modelo simplificado de Relatório de Impacto para maior eficiência administrativa.
FALSO - Item I. De acordo com o Art. 89, §§ 2º e 3º, há diferenciação dos modelos a serem adotados conforme a classificação das serventias, não sendo o mesmo modelo para todas.
VERDADEIRO - Item II. Conforme o Art. 89, § 1.º, “Para o cumprimento das providências de que trata o caput do artigo, poderão ser fornecidos, pelas entidades representativas de classe, modelos, formulários e programas de informática adaptados para cada especialidade de serventia para elaboração de Relatório de Impacto”.
VERDADEIRO - Item III. O Art. 89, § 2.º, estabelece que “Serventias Classe I e II poderão adotar modelo simplificado de Relatório de Impacto conforme orientações da CPD/CN/CNJ para a simplificação do documento. Na ausência de metodologia simplificada, adotar-se-á o Relatório completo”.
FALSO - Item IV. Segundo o Art. 89, § 3.º, “Serventias Classe III adotarão o modelo completo de Relatório de Impacto, conforme instruções metodológicas da CPD/CN/CNJ”, não havendo a opção pelo modelo simplificado para essas serventias.
Política de Segurança da Informação nas Serventias
Analise os itens a seguir:
I. A política de segurança da informação deve conter plano de resposta a incidentes, conforme previsto no art. 48 da LGPD.
II. A política de segurança da informação deve prever a adoção de mecanismos de segurança desde a concepção de novos produtos ou serviços, conceito conhecido como security by design.
III. As medidas de segurança técnicas e organizacionais são elementos opcionais na política de segurança da informação.
IV. A avaliação da segurança de integrações de sistemas é uma das medidas que o responsável pela serventia deve implementar.
VERDADEIRO - Item I. De acordo com o Art. 90, inciso I, alínea c, a política de segurança da informação deve conter “plano de resposta a incidentes (art. 48 da LGPD)”.
VERDADEIRO - Item II. Conforme o Art. 90, inciso I, alínea b, a política de segurança da informação deve conter “previsão de adoção de mecanismos de segurança, desde a concepção de novos produtos ou serviços (security by design) (art. 46, § 1.º, da LGPD)”.
FALSO - Item III. O Art. 90, inciso I, alínea a, estabelece que a política de segurança da informação deve conter “medidas de segurança técnicas e organizacionais”, sendo, portanto, elementos obrigatórios e não opcionais.
VERDADEIRO - Item IV. Segundo o Art. 90, inciso III, cabe ao responsável pelas serventias implementar a “avaliação da segurança de integrações de sistemas”.
Gestão de Incidentes e Segurança de Dados
Analise os itens a seguir:
I. O plano de resposta a incidentes deve prever a comunicação aos titulares, à ANPD, ao juiz corregedor permanente e à CGJ no prazo máximo de 48 horas úteis.
II. A análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros é facultativa, desde que existam contratos formalizados.
III. A avaliação dos sistemas e dos bancos de dados deve ser submetida à ciência do encarregado pelo tratamento de dados pessoais da serventia.
IV. Os responsáveis devem comunicar incidentes apenas quando houver comprovação de dano efetivo aos titulares dos dados pessoais.
VERDADEIRO - Item I. De acordo com o Art. 91, o plano de resposta a incidentes “deverá prever a comunicação, pelos responsáveis por serventias extrajudiciais, ao titular, à Autoridade Nacional de Proteção de Dados (ANPD), ao juiz corregedor permanente e à Corregedoria-Geral da Justiça (CGJ), no prazo máximo de 48 horas úteis, contados a partir do seu conhecimento”.
FALSO - Item II. Conforme o Art. 90, inciso IV, cabe ao responsável pelas serventias implementar a “análise da segurança das hipóteses de compartilhamento de dados pessoais com terceiros”, sendo obrigatória e não facultativa.
VERDADEIRO - Item III. O Art. 90, inciso II, exige a “avaliação dos sistemas e dos bancos de dados em que houver tratamento de dados pessoais e/ou tratamento de dados sensíveis, submetendo tais resultados à ciência do encarregado pelo tratamento de dados pessoais da serventia”.
FALSO - Item IV. Segundo o Art. 91, a comunicação deve ocorrer em caso de “incidente que possa acarretar risco ou dano relevante aos titulares”, ou seja, basta o risco potencial, não sendo necessária a comprovação de dano efetivo.
Eliminação de Documentos e Gestão de Arquivos
Analise os itens a seguir:
I. Os documentos físicos que contenham dados pessoais e dados pessoais sensíveis devem ser armazenados em salas ou compartimentos com controle de acesso.
II. A inutilização e a eliminação de documentos afastam os deveres previstos na Lei n. 13.709/2018 em relação aos dados pessoais remanescentes.
III. A inutilização e a eliminação de documentos devem ser promovidas de forma a impedir a identificação dos dados pessoais neles contidos.
IV. Após a digitalização, o documento físico deve ser imediatamente eliminado, independentemente do prazo definido no Código de Normas.
VERDADEIRO - Item I. De acordo com o Art. 93, inciso II, o responsável pela serventia extrajudicial, sempre que possível, “armazenará os documentos físicos que contenham dados pessoais e dados pessoais sensíveis em salas ou compartimentos com controle de acesso”.
FALSO - Item II. Conforme o Art. 92, parágrafo único, “A inutilização e a eliminação de documentos não afastam os deveres previstos na Lei n. 13.709, de 14 de agosto de 2018, em relação aos dados pessoais que remanescerem em índices, classificadores, indicadores, banco de dados, arquivos de segurança ou qualquer outro modo de conservação adotado na unidade dos serviços extrajudiciais de notas e de registro”.
VERDADEIRO - Item III. Segundo o Art. 92, “A inutilização e a eliminação de documentos em conformidade com a Tabela de Temporalidade de Documentos prevista na Seção I do Capítulo I do Título II do Livro III da Parte Geral deste Código Nacional de Normas, da Corregedoria-Nacional de Justiça, serão promovidas de forma a impedir a identificação dos dados pessoais neles contidos”.
FALSO - Item IV. O Art. 93, parágrafo único, determina que “Após a digitalização, o documento físico poderá ser eliminado, respeitados as disposições e os prazos definidos na Seção I do Capítulo I do Título II do Livro III da Parte Geral deste Código de Normas, da Corregedoria Nacional de Justiça”.
