PDP

Qual documento o controlador deve disponibilizar aos titulares dos dados?. Uma política de privacidade. Uma política de uso aceitável. Uma política de controle de acesso. Uma política de segurança da informação.

Qual é um requisito obrigatório para uma boa política de proteção de dados e privacidade do ponto de vista da empresa?. Equilibrar proteção e produtividade. Definir contatos e responsabilidades. Explicar como as violações serão tratadas. Explicar a necessidade da política.

De acordo com o GDPR, qual informação não constitui parte obrigatória de uma política de privacidade?. Transferências internacionais. Identidade e contatos do controlador. Medidas de segurança internas. Períodos de retenção e direitos do titular.

Qual é o melhor momento para considerar a proteção de dados (Privacy by Design) em um projeto?. No início do projeto. Durante o desenvolvimento técnico. Após a conclusão. Durante a primeira auditoria.

Qual é a característica principal da proteção de dados by default?. Coletar todos os dados possíveis. Proteger dados automaticamente sem ação do titular. Usuários ativam manualmente segurança. Proteger apenas sob solicitação.

A política de privacidade deve ser escrita de forma: Técnica e detalhada. Clara e acessível aos titulares. Restrita a profissionais de TI. Exclusiva para auditores.

O principal objetivo de uma política de proteção de dados é: Proteger apenas dados de clientes. Estabelecer diretrizes para o tratamento de dados pessoais. Definir normas técnicas de segurança física. Garantir a anonimização de todos os dados.

O que significa o conceito de “privacidade desde a concepção” (privacy by design)?. Incorporar proteção de dados desde a fase inicial do projeto. Aplicar controles de segurança apenas após o incidente. Tratar dados apenas quando houver consentimento explícito. Aplicar políticas de privacidade somente em ambientes produtivos.

O que significa “privacidade por padrão” (privacy by default)?. O padrão inicial deve garantir o nível máximo de privacidade. O sistema deve exigir configuração manual de privacidade. O padrão inicial deve oferecer o menor nível de proteção possível. A configuração é opcional e depende do usuário final.

A política de proteção de dados deve ser revisada: Regularmente, ou sempre que houver mudanças legais ou organizacionais. Somente em caso de violação de dados. Apenas quando houver troca de DPO. Somente a cada cinco anos.

Quem é responsável por aprovar a política de proteção de dados?. A alta direção. O DPO. A equipe de TI. O controlador.

O que a política de privacidade deve incluir obrigatoriamente?. As finalidades e bases legais do tratamento. O nome de todos os funcionários com acesso a dados. A lista de fornecedores externos. Os controles físicos aplicados.

A transparência com o titular dos dados é alcançada principalmente por: Comunicação clara e políticas publicadas. Auditorias internas. Registros de atividades de tratamento. Controles técnicos de acesso.

Quando o princípio de minimização de dados é aplicado?. Durante a coleta de dados pessoais. Apenas na exclusão de dados. Na fase de criptografia. Somente durante auditorias.

A política de proteção de dados deve ser comunicada a: Todos os colaboradores e partes interessadas. Apenas aos titulares. Somente à equipe de TI. Somente ao DPO.

Em caso de conflito entre normas internas e o GDPR, deve prevalecer: O GDPR. A política de segurança. A legislação local. A norma interna.

A política de privacidade deve informar ao titular: O contato do DPO e os direitos do titular. O valor pago pelo tratamento dos dados. Os nomes dos funcionários que tratam dados. A duração das auditorias internas.

A implementação de políticas de proteção de dados é um requisito de: Responsabilidade proativa (accountability). Conformidade voluntária. Auditoria facultativa. Gerenciamento de segurança física.

O que caracteriza uma boa política de proteção de dados?. Clareza, objetividade e aplicabilidade. Linguagem técnica e detalhada. Uso de termos jurídicos complexos. Extensão superior a 20 páginas.

Um dos objetivos secundários da política de proteção de dados é: Demonstrar conformidade em auditorias. Restringir o acesso da autoridade supervisora. Substituir contratos de confidencialidade. Impedir a coleta de consentimento.

O princípio de necessidade determina que: Devem ser tratados apenas os dados essenciais à finalidade. Os dados devem ser retidos indefinidamente. Todo dado coletado deve ser anonimizado. O tratamento é livre após o consentimento.

O que deve orientar a criação de políticas de privacidade em uma organização?. As exigências legais e os princípios de proteção de dados. As metas de marketing. As preferências da diretoria. O modelo de negócios.

A política de proteção de dados deve ser: Publicada e acessível ao público. Um documento interno restrito. Exigida apenas por auditorias externas. Sigilosa e disponível apenas ao DPO.

O principal benefício de políticas claras de proteção de dados é: Garantir a transparência e a confiança dos titulares. Evitar a nomeação de um DPO. Reduzir a necessidade de DPIAs. Substituir controles técnicos de segurança.

O que é o Sistema de Gestão de Informações de Privacidade (PIMS)?. Uma extensão do SGSI para gestão da privacidade. Um software de controle de acessos. Um sistema para armazenamento de dados pessoais. Um protocolo de comunicação de dados.

Qual norma define os requisitos para implementação de um PIMS?. ISO/IEC 27701. ISO/IEC 27002. ISO/IEC 27018. ISO/IEC 29100.

Qual é o principal objetivo de um PIMS?. Garantir conformidade com a LGPD e o GDPR. Eliminar todos os riscos à segurança da informação. Substituir o SGSI. Armazenar logs de auditoria.

A implementação de um PIMS ajuda uma organização a: Ter controle sobre o ciclo de vida dos dados pessoais. Automatizar campanhas de marketing. Reduzir custos operacionais. Delegar responsabilidades ao DPO.

O PIMS é considerado uma extensão de qual sistema de gestão?. ISO/IEC 27001. ISO 9001. ISO 22301. ISO/IEC 31000.

Qual é um dos benefícios de implementar o PIMS?. Fornecer evidências de conformidade com normas de privacidade. Facilitar a transferência de dados sem consentimento. Eliminar a necessidade de auditorias. Reduzir o papel do controlador.

A implementação do PIMS deve ser baseada em: Requisitos legais e de governança corporativa. Diretrizes operacionais da equipe de marketing. Preferências de tecnologia da organização. Critérios definidos pela equipe de TI.

O PIMS pode ser integrado a outros sistemas de gestão, como: Ambas as anteriores. ISO 14001 e ISO 9001. ISO 50001 e ISO 20121. Nenhuma das anteriores.

Um PIMS eficaz deve incluir: Processos de DPIA, auditorias e monitoramento contínuo. Uma política pública de privacidade. Exclusivamente controles técnicos. Uma base de dados de titulares.

Qual é o papel do PIMS em relação ao princípio de accountability?. Registrar e demonstrar conformidade com as leis de proteção de dados. Tornar o DPO responsável por todas as decisões. Excluir registros após auditoria. Garantir anonimização de dados pessoais.

A ISO/IEC 27701 define controles aplicáveis a: Controladores e processadores. Apenas titulares de dados. Somente auditores internos. Exclusivamente provedores de nuvem.

O que diferencia o PIMS de um SGSI tradicional?. O foco no tratamento de dados pessoais. A eliminação de riscos operacionais. A ausência de requisitos de auditoria. O foco exclusivo na segurança física.

Uma organização que adota o PIMS demonstra: Cumprimento voluntário de boas práticas de privacidade. Isenção automática de auditorias. Conformidade apenas com a ISO 27002. Independência do DPO.

O PIMS apoia diretamente qual princípio fundamental da proteção de dados?. Responsabilidade (accountability). Minimização. Pseudonimização. Portabilidade.

Durante a implementação de um PIMS, é essencial: Designar claramente os papéis de controlador e processador. Eliminar os processos manuais de tratamento de dados. Automatizar todas as decisões baseadas em IA. Centralizar todo o tratamento de dados em um único servidor.

O PIMS deve ser revisado: Anualmente ou quando houver mudanças significativas nos processos. Somente em caso de incidente grave. Apenas após auditorias externas. Quando a política de segurança expirar.

O PIMS é um mecanismo para: Gerenciar e evidenciar conformidade com a privacidade. Automatizar o consentimento dos titulares. Substituir o DPO. Coletar dados anonimizados.

A integração do PIMS com o SGSI visa: Unificar a gestão de riscos de segurança e privacidade. Reduzir custos operacionais. Criar departamentos independentes. Eliminar a necessidade de políticas de privacidade.

Um dos resultados esperados da adoção de um PIMS é: Melhorar a maturidade e a confiança em privacidade. Reduzir a necessidade de consentimento dos titulares. Eliminar requisitos legais. Impedir o compartilhamento de dados.

A ISO/IEC 27701 pode ser certificada?. Sim, como extensão de uma certificação ISO/IEC 27001 existente. Não, é apenas uma norma de orientação. Apenas por órgãos públicos. Somente na União Europeia.

Quem é o responsável por determinar as finalidades e os meios do tratamento de dados pessoais?. O controlador. O DPO. O processador. A autoridade supervisora.

Quem realiza o tratamento de dados pessoais em nome do controlador?. O processador. O titular. O DPO. A autoridade supervisora.

O controlador deve garantir que o processador: Tenha um contrato com cláusulas claras de proteção de dados. Trate os dados para fins próprios. Possa subcontratar livremente outros processadores. Tenha total autonomia nas decisões de tratamento.

O contrato entre controlador e processador deve conter: As finalidades e instruções para o tratamento. O nome dos titulares dos dados. As senhas de acesso aos sistemas. As regras de auditoria fiscal.

Quando o processador pode designar outro subcontratado?. Apenas com autorização prévia e por escrito do controlador. Sempre que for conveniente. Apenas se o DPO aprovar. Somente após auditoria externa.

Se o processador agir fora das instruções do controlador, ele se torna: Um novo controlador. Isento de responsabilidade. Responsável solidário. Um subcontrolador autorizado.

O controlador é responsável por: Garantir que o tratamento seja realizado de acordo com o GDPR. A aprovação de leis nacionais de privacidade. Controlar apenas dados anonimizados. Isentar-se de notificações à autoridade.

Qual é uma das principais obrigações do processador?. Garantir medidas técnicas e organizacionais adequadas. Determinar as finalidades do tratamento. Nomear auditores independentes. Criar políticas públicas de privacidade.

O DPO deve ser nomeado quando: Houver monitoramento regular e sistemático de titulares em larga escala. O tratamento for ocasional. O tratamento envolver apenas dados anonimizados. A empresa tiver menos de 50 funcionários.

O DPO deve se reportar diretamente: À alta direção. Ao departamento jurídico. À autoridade supervisora. Ao controlador de outro país.

Qual é o papel principal do DPO?. Garantir a conformidade e aconselhar sobre obrigações legais. Implementar medidas de segurança técnica. Representar o controlador em ações judiciais. Aprovar contratos com processadores.

O DPO pode exercer outras funções dentro da organização?. Sim, desde que não haja conflito de interesses. Não, deve atuar exclusivamente na área de privacidade. Apenas se for aprovado pela autoridade supervisora. Somente em organizações públicas.

A principal característica do papel do DPO é: A autonomia e a independência. A subordinação hierárquica. A execução direta do tratamento. O controle exclusivo sobre TI.

O DPO deve ter conhecimento em: Legislação de proteção de dados e práticas de segurança da informação. Engenharia de software. Contabilidade e finanças. Recursos humanos.

Uma das funções do DPO é: Monitorar o cumprimento das políticas de privacidade. Autorizar o tratamento de dados pessoais. Determinar o prazo de retenção de dados. Aprovar contratações de fornecedores.

Quem é o ponto de contato entre a organização e a autoridade supervisora?. O DPO. O controlador. O titular dos dados. O processador.

O DPO deve manter registros de: Solicitações dos titulares e comunicações com autoridades. Contratos de trabalho. Dados financeiros da organização. Transações comerciais.

Em caso de conflito de interesses, o DPO deve: Ser substituído ou realocado. Manter a função e relatar o conflito ao controlador. Consultar a autoridade supervisora. Transferir suas funções ao jurídico.

Qual é a relação entre controlador e DPO?. O DPO atua sob instruções diretas do controlador, mas com independência funcional. O DPO deve seguir apenas as ordens da autoridade supervisora. O DPO é um funcionário subordinado à TI. O controlador não tem obrigação de cooperar com o DPO.

Se o DPO identificar não conformidades graves, ele deve: Relatar imediatamente à alta direção. Ocultar as falhas para evitar sanções. Corrigir sozinho o problema. Notificar diretamente os titulares.

O que é uma Avaliação de Impacto sobre a Proteção de Dados (DPIA)?. Um processo para identificar e mitigar riscos à privacidade. Um relatório financeiro anual. Um documento de auditoria fiscal. Uma verificação de conformidade contratual.

Quando uma DPIA é obrigatória segundo o GDPR?. Quando o tratamento apresentar alto risco aos direitos e liberdades dos titulares. Somente para dados financeiros. Em qualquer coleta de dados pessoais. Apenas em incidentes de segurança.

Quem é responsável por garantir que a DPIA seja realizada?. O controlador. O processador. O DPO. A autoridade supervisora.

O DPO deve participar da DPIA: Aconselhando e orientando o controlador durante o processo. Apenas se o controlador solicitar. Como responsável direto pela execução. Apenas na fase de revisão.

A DPIA deve ser realizada em qual fase do tratamento de dados?. Antes do início do tratamento. Após uma violação de dados. Durante a auditoria anual. Após o armazenamento dos dados.

Qual é a primeira etapa da DPIA?. Descrever as operações de tratamento e suas finalidades. Consultar a autoridade supervisora. Corrigir vulnerabilidades. Classificar os dados sensíveis.

A DPIA deve incluir: Avaliação da necessidade e proporcionalidade do tratamento. Apenas análise de segurança técnica. Planos de marketing digital. Somente identificação do controlador.

O que deve ser feito se a DPIA indicar riscos elevados que não podem ser mitigados?. Consultar a autoridade supervisora antes de iniciar o tratamento. Ignorar o resultado e prosseguir com o tratamento. Eliminar todos os dados pessoais. Repassar a responsabilidade ao DPO.

Um exemplo de situação que exige DPIA é: Monitoramento sistemático em larga escala de áreas públicas. Tratamento de dados de clientes para entrega de produtos. Processamento de e-mails corporativos. Cadastro de funcionários.

A DPIA é obrigatória quando há uso de: Tecnologias novas ou inovadoras, como biometria ou IA. Sistemas de automação de escritório. Planilhas manuais. Dados anonimizados.

O relatório da DPIA deve conter: A descrição do tratamento, avaliação dos riscos e medidas propostas. Apenas as medidas de segurança aplicadas. Somente a identificação do DPO. Dados estatísticos sobre o tratamento.

Quem deve manter o registro da DPIA e suas conclusões?. O controlador. O DPO. O processador. A autoridade supervisora.

Se a organização decidir não realizar uma DPIA, ela deve: Justificar formalmente essa decisão e registrar o motivo. Notificar a autoridade imediatamente. Repassar a responsabilidade ao processador. Ignorar a exigência.

Um dos objetivos centrais da DPIA é: Reduzir e controlar riscos ao nível aceitável. Eliminar completamente todos os riscos. Substituir políticas de segurança. Definir responsabilidades financeiras.

A DPIA deve ser revisada: Sempre que o tratamento sofrer mudanças significativas. Apenas uma vez. Apenas quando exigido pela autoridade. No final do ciclo de vida dos dados.

O resultado de uma DPIA deve ser: Incorporado à documentação do PIMS. Descartado após a aprovação do projeto. Enviado ao titular dos dados. Mantido apenas pela TI.

O DPO deve opinar sobre a DPIA de que forma?. Emitindo parecer independente e documentado. Aprovando formalmente o tratamento. Corrigindo medidas de segurança. Comunicando diretamente aos titulares.

Um risco é considerado “alto” quando: Existe grande impacto sobre os direitos e liberdades dos titulares. O tratamento é de curto prazo. Os dados são armazenados localmente. O titular consentiu previamente.

Um exemplo de medida mitigadora em uma DPIA é: Implementar criptografia e controles de acesso. Aumentar a coleta de dados. Desativar logs de auditoria. Ampliar o compartilhamento de dados.

Quando uma autoridade pode exigir a realização de uma DPIA?. Quando identificar que o tratamento pode afetar direitos dos titulares. Apenas em auditorias fiscais. Somente se houver reclamação formal. Quando o DPO solicitar.

O que é considerado uma violação de dados pessoais?. Qualquer acesso, divulgação, alteração ou destruição não autorizada de dados pessoais. Atraso no processamento de informações. Falha na auditoria interna. Cancelamento de contrato com fornecedor.

Qual é o prazo máximo para notificar a autoridade supervisora após detectar uma violação de dados pessoais?. 72 horas. 24 horas. 48 horas. 5 dias úteis.

Quem é responsável por notificar a autoridade supervisora sobre uma violação de dados?. O controlador. O DPO. O processador. O titular dos dados.

Quando o processador deve notificar o controlador sobre uma violação de dados pessoais?. Imediatamente após tomar conhecimento da violação. Após a análise de impacto. Somente se houver perda de dados financeiros. Dentro de 30 dias.

Em quais situações o titular dos dados deve ser notificado sobre uma violação?. Quando a violação puder resultar em alto risco aos direitos e liberdades dos titulares. Sempre que houver qualquer incidente técnico. Apenas se a autoridade solicitar. Somente em incidentes com dados financeiros.

Qual informação deve constar na notificação à autoridade supervisora?. Natureza da violação, categorias de dados e medidas tomadas. Nome e cargo dos funcionários afetados. Valor financeiro do prejuízo. Relatório de auditoria interno.

Qual é o objetivo principal da notificação de violação de dados?. Demonstrar responsabilidade e transparência. Evitar multas administrativas. Cumprir metas de auditoria. Transferir a culpa ao processador.

Se a violação não representar risco aos titulares, o controlador deve: Não notificar, mas registrar internamente a ocorrência. Mesmo assim notificar todos os titulares. Notificar apenas o DPO. Excluir todos os dados afetados.

Quando a violação envolver dados criptografados, a notificação aos titulares: Pode não ser necessária se a criptografia impedir o acesso indevido. É sempre obrigatória. Deve ser feita em até 48 horas. É de responsabilidade do processador.

O plano de resposta a incidentes deve incluir: Responsáveis, prazos, procedimentos e formas de comunicação. Somente a equipe técnica. A lista de titulares afetados. Somente os requisitos de auditoria.

Quem deve manter registros das violações de dados pessoais?. O controlador. O DPO. A autoridade supervisora. O processador.

O que deve conter o registro interno de violação de dados?. Detalhes da violação, consequências e ações corretivas. Apenas a data do incidente. Dados dos titulares envolvidos. O valor do dano financeiro.

O DPO participa da resposta a incidentes: Coordenando a comunicação e avaliando riscos à privacidade. Corrigindo falhas técnicas. Notificando diretamente os titulares. Gerando logs de auditoria.

A gestão de incidentes de privacidade deve ser integrada a: O sistema de gestão de continuidade de negócios. O departamento jurídico apenas. O setor de marketing. O programa de treinamento interno.