PDPE Flashcards
Um Controlador brasileiro contratou um Operador em um país da África Setentrional para processar dados pessoais sensíveis, sem qualquer garantia em proteção de dados. Isto foi descoberto e ele foi penalizado por uma autoridade pública. Seis meses depois, a autoridade descobre que o Controlador é novamente culpado da mesma transgressão em outra operação de processamento.
Qual é a multa máxima que a autoridade supervisora pode impor neste caso?
multa simples, de até 2% (dois por cento) do faturamento da pessoa jurídica de direito privado, grupo ou conglomerado no Brasil no seu último exercício, excluídos os tributos, limitada, no total, a R$ 50.000.000,00 (cinquenta milhões de reais) por infração;
O que é uma violação de segurança?
“incidente de segurança”
Evento que tem impacto negativo na CID
O que é uma violação de dados?
Uma violação de segurança só se torna violação de dados quando envolve a perda de dados pessoais ou processamento ilegal não puder ser excluído
Leia a definição abaixo:
“O Controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que (…) sejam processados apenas dados pessoais que sejam necessários para cada finalidade específica do processamento.”
Qual termo da Lei Geral de Proteção de Dados (LGPD) está sendo definido?
Proteção de dados por padrão.
Verdadeiro ou Falso
Uma violação de dados é uma violação de segurança envolvendo dados pessoais
Verdadeiro
Verdadeiro ou Falso
Uma violação de dados é sempre um incidente de segurança
Verdadeiro
O “consentimento livre e informado” é uma base legal para o processamento de dados pessoais de acordo com a Lei Geral de Proteção de Dados (LGPD). Deve-se documentar a finalidade do processamento para a qual o consentimento é fornecido.
Em que momento do processo deve ser obtido o consentimento do titular dos dados?
Após a apresentação da especificação da finalidade e antes da coleta dos dados pessoais.
O consentimento só pode ser considerado como “informado” se ocorrer depois da apresentação da finalidade ao titular dos dados, e será “livre” se for condição para que comece o tratamento. (Fonte: LGPD, Art. 5, XII.)
Como a “privacidade” está relacionada à “proteção de dados”?
Privacidade é o direito a ser protegido de uma interferência em assuntos pessoais. A proteção de dados representa o modo para implementar essa proteção.
A Autoridade Nacional de Proteção de Dados (ANPD) assumirá várias responsabilidades destinadas a garantir que as regulamentações para proteção de dados sejam cumpridas.
Qual é uma dessas responsabilidades?
promover e elaborar estudos sobre as práticas nacionais e internacionais de proteção de dados pessoais e privacidade
comunicar às autoridades competentes as infrações penais das quais tiver conhecimento
articular-se com as autoridades reguladoras públicas para exercer suas competências em setores específicos de atividades econômicas e governamentais sujeitas à regulação
Qual é o termo usado para a destruição acidental ou ilegal, divulgação ou acesso não autorizados a dados pessoais?
Violação de dados pessoais
Cookies de sessão constituem um dos tipos de cookies mais comuns.
Qual é a melhor descrição de um cookie de sessão?
Cookies da sessão são cookies temporários que são utilizados para lembrar de você durante o curso da sua visita ao website, e eles perdem a validade quando você fecha o navegador.
Ele contém informações sobre o que você está fazendo, por exemplo, os produtos que você seleciona em um e-commerce antes de efetivar o pedido.
Muitas vezes, os funcionários que trabalham com dados pessoais consideram privacidade e segurança da informação como questões separadas.
Por que isso está errado?
A privacidade não pode ser garantida sem a identificação, implementação e monitoramento de medidas de segurança da informação adequadas.
Qual função na proteção de dados determina as finalidades e os meios de processamento de dados pessoais?
O controlador é a “pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais”. (Fonte: LGPD, Art. 5, VI.)
Como a privacidade e a proteção de dados estão relacionadas entre si?
A proteção de dados é um meio de se garantir a privacidade.
Para legitimar o tratamento de dados de saúde, qual seria uma das primeiras medidas importantes a ser tomada?
é fundamental levantar e analisar os riscos primeiro por meio da elaboração de um relatório de impacto, para depois proceder ao novo tratamento de dados sensíveis.
O que deve ser feito para que um Controlador possa terceirizar o processamento de dados pessoais para um Operador?
O controlador e o operador devem preparar uma minuta e assinar um contrato por escrito garantindo a confidencialidade dos dados.
A Lei Geral de Proteção de Dados (LGPD) está relacionada à proteção de dados pessoais.
Qual é a definição de dados pessoais?
Qualquer informação relacionada a pessoa natural identificada ou identificável.
A coleta, armazenamento, modificação, divulgação ou disseminação ilegal de dados pessoais constitui uma ofensa de acordo com a lei brasileira.
Que tipo de ofensa é essa?
Uma infração em matéria de proteção de dados pessoais.
Em qual artigo da lei está a afirmação abaixo?
“Qualquer tratamento ilegal de dados pessoais constitui uma infração à proteção de dados pessoais.”
LGPD, Art. 52.
Verdadeiro ou Falso
“A privacidade decorre da proteção de dados.”
Falso
Verdadeiro ou Falso
“A proteção de dados ajuda a garantir que privacidade de localização, relacional, corporal e de informações sejam preservados, mas não gera a privacidade.”
Verdadeiro
Verdadeiro ou Falso
“Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.”
Falso.
Apenas dados incorretos precisam ser retificados.
Verdadeiro ou Falso
“Os dados pessoais devem ser apagados sempre que isto for solicitado pelo titular dos dados.”
Falso.
A lei estabelece algumas exceções a este caso, por exemplo, quando os dados são necessários para o exercício regular de direitos em processo judicial, administrativo ou arbitral, ou para cumprimento de obrigação legal ou regulatória pelo controlador (Art. 7º, inciso VI e II da LGPD, respectivamente).
Quais são os requisitos de qualidade definidos pela Lei Geral de Proteção de Dados (LGPD)?
Exatidão, clareza, relevância e atualização dos dados, de acordo com a necessidade e para o cumprimento da finalidade de seu tratamento
Verdadeiro ou Falso
“Conformidade é o estado ou fato que esteja de acordo com ou satisfaça regras e normas.”
Verdadeiro
Verdadeiro ou Falso
“A proteção de dados desde a concepção refere-se ao princípio relacionado ao projeto que inclua medidas apropriadas para implementar a proteção de dados desde a fase de criação de um novo produto, ferramenta, serviço ou processo.”
Verdadeiro
Verdadeiro ou Falso
“A proteção de dados incorporada é um princípio, e não o resultado da aplicação prática das medidas de proteção de dados.”
Falso
Verdadeiro ou Falso
“Nem todo incidente de segurança envolve uma violação de confidencialidade.”
Verdadeiro
Verdadeiro ou Falso
“Todo incidente tem potencial de acarretar risco ou dano relevante aos titulares.”
Falso
Nem todo incidente, seja incidente de dados ou de segurança
Em qual artigo da lei está a definição abaixo?
“A Autoridade Nacional poderá determinar ao controlador que elabore relatório de impacto à proteção de dados pessoais, inclusive de dados sensíveis, referente a suas operações de tratamento de dados”
LGPD, Art. 38
Verdadeiro ou Falso
A multa máxima corresponde a R$ 50 milhões por infração por dia.
Verdadeiro
Verdadeiro ou Falso
“A ANPD deve definir um conjunto mínimo de medidas que devem ser adotadas para a proteção de dados pessoais.”
Falso.
A ANPD fornecerá uma orientação geral sobre o que é considerado um nível de segurança apropriado. Contudo, ela não vai dizer quais medidas específicas devem ser adotadas para chegar a esse nível. Mesmo que quisesse, ela não poderia porque não existe uma solução única que funcione para todos.
Verdadeiro ou Falso
“A ANPD deve investigar todos os incidentes de segurança que lhe sejam notificados.”
Falso.
A ANPD não tem a obrigação, nem a capacidade, de investigar todos os incidentes de segurança de que tenha conhecimento. Mas investigará aquelas que julgar significativas ou dignas de atenção, que possam de fato “acarretar risco ou dano relevante aos titulares” Fonte: LGPD, Art. 48.
Verdadeiro ou Falso
“A ANPD deve examinar contratos em relação à conformidade com a Lei Geral de Proteção de Dados (LGPD).”
Falso.
A ANPD não é um departamento jurídico e, portanto, não é uma de suas responsabilidades examinar contratos de todas as organizações. Contudo, no decorrer de uma investigação, ela poderá analisar contratos específicos, se necessário.
Verdadeiro ou Falso
Normas Corporativas Globais são preparadas para que as organizações não precisem usar contratos de apoio separados para cada afiliada.
Verdadeiro
Verdadeiro ou Falso
Normas Corporativas Globais permitem que as organizações tenham contratos de apoio com todas as partes envolvidas no exterior.
Falso
Verdadeiro ou Falso
Normas Corporativas Globais permitem que as organizações deixem terceiros fora do Brasil tratarem os dados pessoais.
Falso
Verdadeiro ou Falso
Normas Corporativas Globais são válidas apenas dentro de uma organização e em todas as suas afiliadas. Não são aplicadas a nenhuma outra parte.
Verdadeiro
Verdadeiro ou Falso
Um conjunto de Normas Corporativas Globais deve ser autorizado pela ANPD.
Verdadeiro
Verdadeiro ou Falso
Normas Corporativas Globais evitam que as organizações precisem pedir permissão à ANPD para o tratamento dos dados após suas Normas Corporativas Globais serem aceitas.
Falso
Um conjunto de Normas Corporativas Globais deve ser autorizado pela ANPD.
Verdadeiro ou Falso
Privacidade e proteção de dados referem-se à garantia de confidencialidade de dados pessoais, entre outros.
Verdadeiro
O que é subsidiariedade?
É encontrada na regra geral que exige que os dados pessoais só possam ser processados se não houver outros meios para alcançar os objetivos.
Verdadeiro ou Falso
Como padrão implementado [execução], o princípio de “privacidade por padrão” define que, na prática, o mínimo de dados pessoais deve ser tratado pelos agentes de tratamento durante o período mais curto possível, usando as melhores medidas de segurança possíveis para prevenir um acesso não autorizado.
Verdadeiro (Fonte: LGPD, Art. 46, § 2º.)