PDP

O que significa “privacidade por padrão” (privacy by default)?. O padrão inicial deve garantir o nível máximo de privacidade. O sistema deve exigir configuração manual de privacidade. O padrão inicial deve oferecer o menor nível de proteção possível. A configuração é opcional e depende do usuário final.

A política de proteção de dados deve ser revisada: Regularmente, ou sempre que houver mudanças legais ou organizacionais. Somente em caso de violação de dados. Apenas quando houver troca de DPO. Somente a cada cinco anos.

Quem é responsável por aprovar a política de proteção de dados?. A alta direção. O DPO. A equipe de TI. O controlador.

O que significa o conceito de “privacidade desde a concepção” (privacy by design)?. Incorporar proteção de dados desde a fase inicial do projeto. Aplicar controles de segurança apenas após o incidente. Tratar dados apenas quando houver consentimento explícito. Aplicar políticas de privacidade somente em ambientes produtivos.

O que a política de privacidade deve incluir obrigatoriamente?. As finalidades e bases legais do tratamento. O nome de todos os funcionários com acesso a dados. A lista de fornecedores externos. Os controles físicos aplicados.

A transparência com o titular dos dados é alcançada principalmente por: Comunicação clara e políticas publicadas. Auditorias internas. Registros de atividades de tratamento. Controles técnicos de acesso.

Quando o princípio de minimização de dados é aplicado?. Durante a coleta de dados pessoais. Apenas na exclusão de dados. Na fase de criptografia. Somente durante auditorias.

A política de proteção de dados deve ser comunicada a: Todos os colaboradores e partes interessadas. Apenas aos titulares. Somente à equipe de TI. Somente ao DPO.

Em caso de conflito entre normas internas e o GDPR, deve prevalecer: O GDPR. A política de segurança. A legislação local. A norma interna.

A implementação de políticas de proteção de dados é um requisito de: Responsabilidade proativa (accountability). Conformidade voluntária. Auditoria facultativa. Gerenciamento de segurança física.

A política de privacidade deve informar ao titular: O contato do DPO e os direitos do titular. O valor pago pelo tratamento dos dados. Os nomes dos funcionários que tratam dados. A duração das auditorias internas.

O que caracteriza uma boa política de proteção de dados?. Clareza, objetividade e aplicabilidade. Linguagem técnica e detalhada. Uso de termos jurídicos complexos. Extensão superior a 20 páginas.

Um dos objetivos secundários da política de proteção de dados é: Demonstrar conformidade em auditorias. Restringir o acesso da autoridade supervisora. Substituir contratos de confidencialidade. Impedir a coleta de consentimento.

O princípio de necessidade determina que: Devem ser tratados apenas os dados essenciais à finalidade. Os dados devem ser retidos indefinidamente. Todo dado coletado deve ser anonimizado. O tratamento é livre após o consentimento.

O que deve orientar a criação de políticas de privacidade em uma organização?. As exigências legais e os princípios de proteção de dados. As metas de marketing. As preferências da diretoria. O modelo de negócios.

A política de proteção de dados deve ser: Publicada e acessível ao público. Um documento interno restrito. Exigida apenas por auditorias externas. Sigilosa e disponível apenas ao DPO.

O principal benefício de políticas claras de proteção de dados é: Garantir a transparência e a confiança dos titulares. Evitar a nomeação de um DPO. Reduzir a necessidade de DPIAs. Substituir controles técnicos de segurança.

O que é o Sistema de Gestão de Informações de Privacidade (PIMS)?. Uma extensão do SGSI para gestão da privacidade. Um software de controle de acessos. Um sistema para armazenamento de dados pessoais. Um protocolo de comunicação de dados.

Qual norma define os requisitos para implementação de um PIMS?. ISO/IEC 27701. ISO/IEC 27002. ISO/IEC 27018. ISO/IEC 29100.

Qual é o principal objetivo de um PIMS?. Garantir conformidade com a LGPD e o GDPR. Eliminar todos os riscos à segurança da informação. Substituir o SGSI. Armazenar logs de auditoria.

A implementação de um PIMS ajuda uma organização a: Ter controle sobre o ciclo de vida dos dados pessoais. Automatizar campanhas de marketing. Reduzir custos operacionais. Delegar responsabilidades ao DPO.

O PIMS é considerado uma extensão de qual sistema de gestão?. ISO/IEC 27001. ISO 9001. ISO 22301. ISO/IEC 31000.

Qual é um dos benefícios de implementar o PIMS?. Fornecer evidências de conformidade com normas de privacidade. Facilitar a transferência de dados sem consentimento. Eliminar a necessidade de auditorias. Reduzir o papel do controlador.

A implementação do PIMS deve ser baseada em: Requisitos legais e de governança corporativa. Diretrizes operacionais da equipe de marketing. Preferências de tecnologia da organização. Critérios definidos pela equipe de TI.

O PIMS pode ser integrado a outros sistemas de gestão, como: Ambas as anteriores. ISO 14001 e ISO 9001. ISO 50001 e ISO 20121. Nenhuma das anteriores.

Um PIMS eficaz deve incluir: Processos de DPIA, auditorias e monitoramento contínuo. Uma política pública de privacidade. Exclusivamente controles técnicos. Uma base de dados de titulares.

Qual é o papel do PIMS em relação ao princípio de accountability?. Registrar e demonstrar conformidade com as leis de proteção de dados. Tornar o DPO responsável por todas as decisões. Excluir registros após auditoria. Garantir anonimização de dados pessoais.

A ISO/IEC 27701 define controles aplicáveis a: Controladores e processadores. Apenas titulares de dados. Somente auditores internos. Exclusivamente provedores de nuvem.

O que diferencia o PIMS de um SGSI tradicional?. O foco no tratamento de dados pessoais. A eliminação de riscos operacionais. A ausência de requisitos de auditoria. O foco exclusivo na segurança física.

Uma organização que adota o PIMS demonstra: Cumprimento voluntário de boas práticas de privacidade. Isenção automática de auditorias. Conformidade apenas com a ISO 27002. Independência do DPO.

O PIMS apoia diretamente qual princípio fundamental da proteção de dados?. Responsabilidade (accountability). Minimização. Pseudonimização. Portabilidade.

Durante a implementação de um PIMS, é essencial: Designar claramente os papéis de controlador e processador. Eliminar os processos manuais de tratamento de dados. Automatizar todas as decisões baseadas em IA. Centralizar todo o tratamento de dados em um único servidor.

O PIMS deve ser revisado: Anualmente ou quando houver mudanças significativas nos processos. Somente em caso de incidente grave. Apenas após auditorias externas. Quando a política de segurança expirar.

O PIMS é um mecanismo para: Gerenciar e evidenciar conformidade com a privacidade. Automatizar o consentimento dos titulares. Substituir o DPO. Coletar dados anonimizados.

A integração do PIMS com o SGSI visa: Unificar a gestão de riscos de segurança e privacidade. Reduzir custos operacionais. Criar departamentos independentes. Eliminar a necessidade de políticas de privacidade.

Um dos resultados esperados da adoção de um PIMS é: Melhorar a maturidade e a confiança em privacidade. Reduzir a necessidade de consentimento dos titulares. Eliminar requisitos legais. Impedir o compartilhamento de dados.

A ISO/IEC 27701 pode ser certificada?. Sim, como extensão de uma certificação ISO/IEC 27001 existente. Não, é apenas uma norma de orientação. Apenas por órgãos públicos. Somente na União Europeia.

Quem é o responsável por determinar as finalidades e os meios do tratamento de dados pessoais?. O controlador. O DPO. O processador. A autoridade supervisora.

Quem realiza o tratamento de dados pessoais em nome do controlador?. O processador. O titular. O DPO. A autoridade supervisora.

O controlador deve garantir que o processador: Tenha um contrato com cláusulas claras de proteção de dados. Trate os dados para fins próprios. Possa subcontratar livremente outros processadores. Tenha total autonomia nas decisões de tratamento.

O contrato entre controlador e processador deve conter: As finalidades e instruções para o tratamento. O nome dos titulares dos dados. As senhas de acesso aos sistemas. As regras de auditoria fiscal.

Quando o processador pode designar outro subcontratado?. Apenas com autorização prévia e por escrito do controlador. Sempre que for conveniente. Apenas se o DPO aprovar. Somente após auditoria externa.

Se o processador agir fora das instruções do controlador, ele se torna: Um novo controlador. Isento de responsabilidade. Responsável solidário. Um subcontrolador autorizado.

O controlador é responsável por: Garantir que o tratamento seja realizado de acordo com o GDPR. A aprovação de leis nacionais de privacidade. Controlar apenas dados anonimizados. Isentar-se de notificações à autoridade.

Qual é uma das principais obrigações do processador?. Garantir medidas técnicas e organizacionais adequadas. Determinar as finalidades do tratamento. Nomear auditores independentes. Criar políticas públicas de privacidade.

O DPO deve ser nomeado quando: Houver monitoramento regular e sistemático de titulares em larga escala. O tratamento for ocasional. O tratamento envolver apenas dados anonimizados. A empresa tiver menos de 50 funcionários.

O DPO deve se reportar diretamente: À alta direção. Ao departamento jurídico. À autoridade supervisora. Ao controlador de outro país.

Qual é o papel principal do DPO?. Garantir a conformidade e aconselhar sobre obrigações legais. Implementar medidas de segurança técnica. Representar o controlador em ações judiciais. Aprovar contratos com processadores.

O DPO pode exercer outras funções dentro da organização?. Sim, desde que não haja conflito de interesses. Não, deve atuar exclusivamente na área de privacidade. Apenas se for aprovado pela autoridade supervisora. Somente em organizações públicas.

A principal característica do papel do DPO é: A autonomia e a independência. A subordinação hierárquica. A execução direta do tratamento. O controle exclusivo sobre TI.

O DPO deve ter conhecimento em: Legislação de proteção de dados e práticas de segurança da informação. Engenharia de software. Contabilidade e finanças. Recursos humanos.

Uma das funções do DPO é: Monitorar o cumprimento das políticas de privacidade. Autorizar o tratamento de dados pessoais. Determinar o prazo de retenção de dados. Aprovar contratações de fornecedores.

Quem é o ponto de contato entre a organização e a autoridade supervisora?. O DPO. O controlador. O titular dos dados. O processador.

O DPO deve manter registros de: Solicitações dos titulares e comunicações com autoridades. Contratos de trabalho. Dados financeiros da organização. Transações comerciais.

Em caso de conflito de interesses, o DPO deve: Ser substituído ou realocado. Manter a função e relatar o conflito ao controlador. Consultar a autoridade supervisora. Transferir suas funções ao jurídico.

Qual é a relação entre controlador e DPO?. O DPO atua sob instruções diretas do controlador, mas com independência funcional. O DPO deve seguir apenas as ordens da autoridade supervisora. O DPO é um funcionário subordinado à TI. O controlador não tem obrigação de cooperar com o DPO.

Se o DPO identificar não conformidades graves, ele deve: Relatar imediatamente à alta direção. Ocultar as falhas para evitar sanções. Corrigir sozinho o problema. Notificar diretamente os titulares.

O que é uma Avaliação de Impacto sobre a Proteção de Dados (DPIA)?. Um processo para identificar e mitigar riscos à privacidade. Um relatório financeiro anual. Um documento de auditoria fiscal. Uma verificação de conformidade contratual.

Quando uma DPIA é obrigatória segundo o GDPR?. Quando o tratamento apresentar alto risco aos direitos e liberdades dos titulares. Somente para dados financeiros. Em qualquer coleta de dados pessoais. Apenas em incidentes de segurança.

Quem é responsável por garantir que a DPIA seja realizada?. O controlador. O processador. O DPO. A autoridade supervisora.

O DPO deve participar da DPIA: Aconselhando e orientando o controlador durante o processo. Apenas se o controlador solicitar. Como responsável direto pela execução. Apenas na fase de revisão.

A DPIA deve ser realizada em qual fase do tratamento de dados?. Antes do início do tratamento. Após uma violação de dados. Durante a auditoria anual. Após o armazenamento dos dados.

Qual é a primeira etapa da DPIA?. Descrever as operações de tratamento e suas finalidades. Consultar a autoridade supervisora. Corrigir vulnerabilidades. Classificar os dados sensíveis.

A DPIA deve incluir: Avaliação da necessidade e proporcionalidade do tratamento. Apenas análise de segurança técnica. Planos de marketing digital. Somente identificação do controlador.

O que deve ser feito se a DPIA indicar riscos elevados que não podem ser mitigados?. Consultar a autoridade supervisora antes de iniciar o tratamento. Ignorar o resultado e prosseguir com o tratamento. Eliminar todos os dados pessoais. Repassar a responsabilidade ao DPO.

Um exemplo de situação que exige DPIA é: Monitoramento sistemático em larga escala de áreas públicas. Tratamento de dados de clientes para entrega de produtos. Processamento de e-mails corporativos. Cadastro de funcionários.

A DPIA é obrigatória quando há uso de: Tecnologias novas ou inovadoras, como biometria ou IA. Sistemas de automação de escritório. Planilhas manuais. Dados anonimizados.

O relatório da DPIA deve conter: A descrição do tratamento, avaliação dos riscos e medidas propostas. Apenas as medidas de segurança aplicadas. Somente a identificação do DPO. Dados estatísticos sobre o tratamento.

Quem deve manter o registro da DPIA e suas conclusões?. O controlador. O DPO. O processador. A autoridade supervisora.

Se a organização decidir não realizar uma DPIA, ela deve: Justificar formalmente essa decisão e registrar o motivo. Notificar a autoridade imediatamente. Repassar a responsabilidade ao processador. Ignorar a exigência.

Um dos objetivos centrais da DPIA é: Reduzir e controlar riscos ao nível aceitável. Eliminar completamente todos os riscos. Substituir políticas de segurança. Definir responsabilidades financeiras.

A DPIA deve ser revisada: Sempre que o tratamento sofrer mudanças significativas. Apenas uma vez. Apenas quando exigido pela autoridade. No final do ciclo de vida dos dados.

O resultado de uma DPIA deve ser: Incorporado à documentação do PIMS. Descartado após a aprovação do projeto. Enviado ao titular dos dados. Mantido apenas pela TI.

O DPO deve opinar sobre a DPIA de que forma?. Emitindo parecer independente e documentado. Aprovando formalmente o tratamento. Corrigindo medidas de segurança. Comunicando diretamente aos titulares.

Um risco é considerado "alto" quando: Existe grande impacto sobre os direitos e liberdades dos titulares. O tratamento é de curto prazo. Os dados são armazenados localmente. O titular consentiu previamente.

Um exemplo de medida mitigadora em uma DPIA é: Implementar criptografia e controles de acesso. Aumentar a coleta de dados. Desativar logs de auditoria. Ampliar o compartilhamento de dados.

Quando uma autoridade pode exigir a realização de uma DPIA?. Quando identificar que o tratamento pode afetar direitos dos titulares. Apenas em auditorias fiscais. Somente se houver reclamação formal. Quando o DPO solicitar.

O que é considerado uma violação de dados pessoais?. Uma violação de segurança que leva à destruição, perda, alteração, divulgação não autorizada ou acesso a dados pessoais. Qualquer acesso autorizado a dados pessoais. O uso de dados anonimizados. A coleta de dados por meio de consentimento.

Qual é o prazo máximo para notificar a autoridade supervisora após detectar uma violação de dados pessoais?. 72 horas. 24 horas. 48 horas. 7 dias.

Quem é responsável por notificar a autoridade supervisora sobre uma violação de dados?. O controlador. O DPO. O processador. O titular.

Quando o processador deve notificar o controlador sobre uma violação de dados pessoais?. Imediatamente após tomar conhecimento da violação. Após a análise de impacto. Somente se houver perda de dados financeiros. Dentro de 30 dias.

Em quais situações o titular dos dados deve ser notificado sobre uma violação?. Quando a violação puder resultar em alto risco aos direitos e liberdades dos titulares. Sempre que houver qualquer incidente técnico. Apenas se a autoridade solicitar. Somente em incidentes com dados financeiros.

Qual informação deve constar na notificação à autoridade supervisora?. Natureza da violação, categorias de dados e medidas tomadas. Nome e cargo dos funcionários afetados. Valor financeiro do prejuízo. Relatório de auditoria interno.

Qual é o objetivo principal da notificação de violação de dados?. Demonstrar responsabilidade e transparência. Evitar multas administrativas. Cumprir metas de auditoria. Transferir a culpa ao processador.

Se a violação não representar risco aos titulares, o controlador deve: Não notificar, mas registrar internamente a ocorrência. Mesmo assim notificar todos os titulares. Notificar apenas o DPO. Excluir todos os dados afetados.

Quando a violação envolver dados criptografados, a notificação aos titulares: Pode não ser necessária se a criptografia impedir o acesso indevido. É sempre obrigatória. Deve ser feita em até 48 horas. É de responsabilidade do processador.

O plano de resposta a incidentes deve incluir: Responsáveis, prazos, procedimentos e formas de comunicação. Somente a equipe técnica. A lista de titulares afetados. Somente os requisitos de auditoria.

Quem deve manter registros das violações de dados pessoais?. O controlador. O DPO. A autoridade supervisora. O processador.

O que deve conter o registro interno de violação de dados?. Detalhes da violação, consequências e ações corretivas. Apenas a data do incidente. Dados dos titulares envolvidos. O valor do dano financeiro.

O DPO participa da resposta a incidentes: Coordenando a comunicação e avaliando riscos à privacidade. Corrigindo falhas técnicas. Notificando diretamente os titulares. Gerando logs de auditoria.

A gestão de incidentes de privacidade deve ser integrada a: O sistema de gestão de continuidade de negócios. O departamento jurídico apenas. O setor de marketing. O programa de treinamento interno.

Qual documento o controlador deve disponibilizar aos titulares dos dados?. Uma política de privacidade. Uma política de uso aceitável. Uma política de controle de acesso. Uma política de segurança da informação.

Qual é um requisito obrigatório para uma boa política de proteção de dados e privacidade do ponto de vista da empresa?. Definir contatos e responsabilidades. Equilibrar proteção e produtividade. Explicar como as violações serão tratadas. Explicar a necessidade da política.

De acordo com o GDPR, por que a “privacidade por padrão (by default)” constitui um princípio de privacidade essencial?. Ela garante que apenas os dados pessoais necessários para cada finalidade específica do processamento sejam processados. Ela garante que os dados pessoais sejam coletados por padrão de acordo com a política de privacidade. Ela garante que a política de privacidade padrão seja aceita pelos titulares dos dados antes que os dados pessoais sejam processados. Ela garante que a política de privacidade padrão seja aceita pelos titulares dos dados antes que os dados pessoais sejam processados.

Uma empresa está elaborando um projeto para criar um novo serviço gratuito para os consumidores. Qual é o melhor momento para começar a discutir privacidade ou proteção de dados?. A privacidade e a proteção de dados devem ser promovidas desde o início do projeto. A proteção de dados deve ser discutida e implementada na fase de implementação do projeto. Projetos que envolvam dados pessoais devem ser sempre submetidos a uma auditoria de privacidade antes da conclusão do projeto. Uma vez que o objetivo desse projeto é criar um serviço gratuito para o consumidor, a proteção de dados deve ser baseada em um aviso de privacidade já existente.

Uma organização tem planos para inaugurar um novo departamento como provedor de serviços para que os titulares dos dados armazenem seus dados pessoais, de modo a facilitar a portabilidade entre os controladores. O CEO da organização pede seu parecer. Por que um Sistema de Gestão de Proteção de Dados (DPMS) deve ser implementado?. Um DPMS melhora o gerenciamento dos dados e diminui os riscos para os sistemas de dados e informação. Um DPMS ajuda a reunir dados importantes em um sistema. Um DPMS ajuda a coletar dados que serão transferidos e ajuda na redação de uma política de segurança. Um DPMS é obrigatório de acordo com o GDPR.

Por que as auditorias e avaliações de dados iniciais devem ser realizadas durante a fase de Preparação da montagem de um DPMS?. Elas identificam riscos e problemas para a proteção de dados e privacidade dos indivíduos, riscos à conformidade (compliance) e quaisquer outros riscos relacionados para a organização. Elas fornecem uma visão geral clara dos fluxos de dados dentro e fora da organização. Deste modo, o comitê de supervisão de governança pode revisar esses fluxos dos dados. Elas fornecem uma análise sobre a prontidão e conscientização de membros da diretoria, gerência, equipe e funcionários em relação à proteção de dados e privacidade. Elas fornecem um inventário indicando onde todos os tipos de dados ficam localizados na organização e quem possui estes dados na organização.

Você é o novo Chief Data Protection and Privacy Officer (Diretor de Proteção de Dados e Privacidade) da empresa ABC. O CEO está preocupado com a ausência de controles adequados sobre a proteção das informações que são coletadas, usadas e divulgadas na empresa e entre a empresa e partes externas. Você recomenda ao CEO que a empresa se prepare para a implementação de um DPMS. Por que o inventário de fluxos de dados é essencial nessa fase?. Para ter uma visão clara dos riscos à proteção de dados e privacidade que devem ser mitigados. Para verificar a atitude dos funcionários em relação a questões de privacidade. Para identificar situações nas quais os funcionários misturem seus assuntos pessoais com assuntos da empresa. Para aumentar a conscientização dos funcionários sobre questões de privacidade no trabalho.

O que é necessário para estabelecer as estruturas e os mecanismos organizacionais que acompanham a introdução de um Sistema de Gestão de Proteção de Dados (DPMS) na fase 2 em uma Organização com Proteção de Dados e Privacidade?. O conhecimento sobre proteção de dados e privacidade deve ser difundido a toda a empresa para criar a conscientização sobre proteção de dados e privacidade. Auditoria das medidas e controles para privacidade e proteção de dados com o objetivo de identificar lacunas e erros. Os funcionários devem conhecer o estado do programa de proteção de dados e privacidade para cumprirem com os requisitos do DPMS. Comunicação regular com a direção para envolver e estimular o desempenho do programa de proteção de dados.

O programa de proteção de dados e privacidade é ancorado na declaração da missão de privacidade da empresa. Qual aspecto não é importante na declaração da missão de privacidade?. Detalhamento das estratégias de proteção de dados e privacidade. Alinhamento adequado e efetivo com a declaração da missão corporativa. Designação de responsabilidades, deveres e papéis das pessoas envolvidas com a prática de proteção de dados e privacidade. Ênfase no valor que a empresa dá à proteção de dados e à privacidade.

O que não representa uma demonstração de apoio da direção em um programa de proteção de dados e privacidade?. Delegar responsabilidades de iniciativas para proteção de dados e privacidade ao DPO e aos responsáveis pelo processo. Comunicar a importância da proteção de dados e privacidade à equipe. Fornecer fundos para suporte das atividades de proteção de dados e privacidade.

Em um programa de proteção de dados e privacidade, uma boa prática consiste em projetar um sistema de classificação de dados para distinguir o nível de proteção necessário para os dados pessoais. Qual é o objetivo primário de um sistema de classificação de dados?. Permitir que níveis de segurança e controles de privacidade apropriados sejam implementados para diferentes categorias de dados. Permitir a discriminação apropriada de diferentes categorias de dados. Garantir que todos os dados processados sejam protegidos. Restringir o acesso a diferentes categorias de dados por grupos-alvo.

Você foi contratado(a) como Data Protection Officer (DPO) de uma corporação multinacional. Uma de suas primeiras tarefas é desenvolver e implementar um conjunto de estratégias, planos e políticas de proteção de dados e privacidade para a corporação. Qual é a primeira coisa que você deve na fase 3 “Desenvolvimento e implementação de proteção de dados e privacidade”?. Analisar e definir as necessidades e os requisitos de sua corporação em relação à proteção de dados. Determinar o conhecimento e a compreensão dos funcionários sobre os conceitos de proteção de dados e privacidade. Pesquisar e adaptar as melhores práticas da indústria para sua corporação. Compreender o panorama global de proteção de dados e privacidade.

Um elemento central do GDPR é o fato de que uma organização deve demonstrar a conformidade. A partir desse ponto de vista, qual fase do Sistema de Gestão de Proteção de Dados (DPMS) é a mais essencial?. Fase 4, onde os mecanismos de governança de privacidade para a organização são estabelecidos. Fase 1, onde a organização é preparada para a privacidade. Fase 2, onde as estruturas e os mecanismos organizacionais para a privacidade são estabelecidos. Fase 3, onde as medidas de proteção de dados e privacidade para a organização são desenvolvidas e implementadas.

Como Data Protection Officer (DPO), você é solicitado a contribuir para a governança de proteção de dados e privacidade. Você decide que as notificações de privacidade devem ser realizadas no interesse dos titulares dos dados individuais. Essas notificações de privacidade servem para informar aos titulares dos dados de que modo seus dados são processados e quais são os controles. O que não deve fazer parte dessas notificações de privacidade?. Que políticas de segurança a organização está implementando. Como os dados pessoais são coletados, usados, mantidos, retidos e divulgados. Quais dados pessoais são coletados. De que controles específicos os titulares dos dados dispõem.

Você é o(a) Data Protection Officer (DPO) de uma empresa de consultoria e precisa implementar um sistema de gerenciamento de incidentes. O que esse sistema exigiria?. Reconhecer a ocorrência de incidentes, responder às preocupações imediatas e de longo prazo, acompanhar o incidente para garantir que as medidas adotadas sejam efetivas. Registrar todos os dados processados e mantê-los em um local seguro para que, no caso de um incidente, os dados possam ser recuperados e as medidas adotadas sejam minimizadas. Registrar todos os incidentes e realizar uma avaliação de impacto sobre a privacidade para analisar os riscos e estabelecer um plano de melhoria. Registrar todos os incidentes e relatá-los ao comitê de supervisão de governança para revisão dos fluxos de dados e aprimoramento da política de segurança que indicarem.

Uma instituição de saúde está trabalhando em cooperação com outras duas instituições de saúde no desenvolvimento de um aplicativo de celular para monitoramento de pacientes. Ela decide iniciar uma versão piloto a fim de verificar os resultados desse novo aplicativo. Nessa versão piloto, médicos e pacientes inserem seus dados pessoais e qualificações no aplicativo de celular, além de dados clínicos. No processo dessa versão piloto, é realizado um teste de segurança. A partir dos resultados desse teste, fica claro que aplicativo de celular não é seguro. Ele pode ser invadido com facilidade, de modo que os dados dos pacientes podem ser alterados; também é possível assumir a posição do médico e mudar as informações clínicas dos pacientes. O que o Data Protection Officer (DPO) indicado pelas três instituições de saúde deve fazer, considerando os interesses dos titulares dos dados?. O DPO deve informar os pacientes e os médicos envolvidos, pois o resultado do teste provavelmente resultará em um alto risco para os pacientes e os médicos envolvidos. Ele também notificará a autoridade supervisora. O DPO não precisa tomar nenhuma medida, uma vez que essa é apenas uma versão piloto e uma parcela relativamente pequena do total de pacientes está participando. O DPO não necesita tomar nenhuma medida porque o impacto das vulnerabilidades descobertas não deve ser qualificado como alto risco para probabilidade de ocorrência, uma vez que essa é apenas uma versão piloto. O DPO utilizará o relatório do teste para ajustar os riscos de segurança de acordo com as normas de segurança exigidas para o aplicativo de celular e notificará a autoridade supervisora.

Qual é o principal motivo para envolver um terceiro (externo) na realização de avaliações de Proteção de Dados e Privacidade?. Obter uma validação independente da conformidade com as políticas de privacidade internas e as exigências legais aplicáveis. Comparar suas atividades de privacidade com as normas da indústria. Melhorar a credibilidade de seu programa de proteção de dados e privacidade. Otimizar tempo e orçamento como pontos centrais em seu programa de proteção de dados e privacidade.

A empresa acaba de sofrer uma violação de dados pessoais que causou a paralisação do sistema de gestão de relacionamento com o cliente (CRM) por mais de duas horas. Como Data Protection Officer (DPO) dessa empresa, entre outras coisas, você decide conduzir uma avaliação de privacidade específica para essa ocorrência. Qual é um dos principais objetivos dessa avaliação específica?. Determinar os riscos para a privacidade. Obter aconselhamento sobre as mensagens apropriadas para os clientes. Avaliar a extensão do dano causado pela violação. Identificar a(s) pessoa(s) responsável(is) pela violação.

Uma empresa que é responsável pelo tratamento de dados está passando por dificuldades financeiras há algum tempo e a diretoria decide não atualizar o software do Sistema de Gestão de Proteção de Dados (DPMS). Em vez disso, a ela solicita à Autoridade Supervisora a autorização para requerimento de uma certificação de proteção de dados. Isso economiza muito dinheiro para a empresa e tem mais valor comercial. Se você fosse o(a) Data Protection Officer (DPO) desse controlador, qual seria seu conselho para a diretoria?. Realizar a atualização do DPMS. A ausência de atualização do DPMS geraria um possível risco de não conformidade, pois isso poderia ser visto como uma falha em executar medidas técnicas e organizacionais apropriadas como controlador. Prosseguir com o processo para obter a certificação de proteção de dados. A certificação obtida pode ser usada para demonstrar a conformidade com as obrigações como controlador. Realizar uma avaliação de proteção de dados e privacidade externa. Isso consumiria todo o orçamento, mas garantiria que medidas técnicas e organizacionais apropriadas sejam adotadas dentro da natureza, escopo e contexto. Realizar uma atualização do DPMS correspondente a 1/3 do que deve ser realizado, atualizando apenas as partes indicadas pela avaliação interna como as most vulneráveis, que precisem da atualização.

Uma academia de fitness popular no centro de Paris armazena seus dados em uma empresa de hospedagem, também localizada em Paris. O servidor onde os dados dos membros da academia estão armazenados foi submetido recentemente a uma verificação de manutenção regular por uma empresa de serviços de TI. No dia seguinte à visita da empresa de serviços de TI, o servidor sofre uma pane e causa um incêndio na sala de servidores. Os dados da academia são perdidos no incêndio, assim como as cópias de segurança, que estão armazenadas no mesmo servidor. A investigação indica que o sistema de resfriamento na sala de servidores não estava funcionando bem e provocou um superaquecimento no sistema do servidor. O engenheiro de manutenção percebeu que a temperatura estava um pouco elevada na sala, mas não relatou esse fato à empresa dos servidores porque estava com pressa e não achou que isso fosse muito incomum. A própria empresa de hospedagem realiza a assistência técnica do sistema de resfriamento. É mais provável que qual parte seja responsável pelo incidente?. A empresa de hospedagem, porque ela é responsável pela segurança relativa aos dados pessoais. A academia, já que a organização é a proprietária dos dados que foram perdidos. A academia, porque não solicitaram que as cópias de segurança fossem arquivadas em outro servidor. A empresa de TI, porque o engenheiro de manutenção deveria ter relatado que a temperatura estava alta na sala dos servidores.

Um hospital terceirizou a impressão das faturas de seus pacientes para uma gráfica. A gráfica também imprime faturas para outras organizações. Devido a uma mistura de nome e endereços durante a separação na gráfica, algumas faturas foram enviadas aos pacientes errados. O hospital tinha analisado cuidadosamente suas transações comerciais. O hospital tinha um processo de verificação robusto em vigor e acordos contratuais com a gráfica. Por que a gráfica provavelmente será responsabilizada?. A gráfica determina os procedimentos de impressão. A gráfica determina os objetivos das atividades de processamento. A gráfica determina quais dados serão processados. A gráfica imprime cobranças para outras organizações.

Uma loja familiar de utilidades domésticas decide contratar uma empresa de web analytics para publicidade e marketing dirigidos. O médico e o advogado locais decidem contratar a mesma empresa de web analytics, que também tem outros clientes. Que controlador(es) deve(m) indicar um Data Protection Officer (DPO)?. A empresa de web analytics. A loja familiar de utilidades domésticas. A loja familiar de utilidades domésticas e a empresa de web analytics. O médico e o advogado.

Na ilha de Texel, uma pequena ilha no Mar do Norte que pertence aos Países Baixos, vive um médico generalista. Ele tem uma organização privada (com fins lucrativos). Sua prática médica conta com 60 pessoas registradas. Qual afirmação está correta sobre a necessidade ou não de indicar um Data Protection Officer (DPO)?. A prática médica é muito pequena para ser considerada como uma prática que controla e processa dados médicos em larga escala e, portanto, o médico generalista não precisa indicar um DPO. A prática médica monitora pacientes de um modo regular e sistemático e, sendo assim, o médico é obrigado a indicar um DPO. O médico generalista tem a única prática médica em atividade na ilha. Ele desempenha um papel independente e profissional em relação a seus pacientes. Ele pode ser médico e DPO ao mesmo tempo.

De acordo com o General Data Protection Regulation (GDPR), o Data Protection Officer (DPO) é limitado por sigilo ou confidencialidade em relação ao desempenho de suas tarefas. Em relação a qual parte o DPO está isento desse sigilo ou confidencialidade para buscar orientação?. À autoridade supervisora. A diretoria de sua empresa. Os membros da equipe de proteção de dados e privacidade da rede. Ao Diretor de Segurança de Informações (ISO).

Você está empregado(como Data Protection Officer (DPO) em uma loja de departamento no ramo da alta moda. A empresa expressou a intenção de comprar um software de reconhecimento facial para conseguir identificar e atender melhor seus clientes regulares. Todos os clients que tiverem uma conta serão informados sobre essa mudança e terão a possibilidade de optar pela não participação. Por que você recomendaria a condução prévia de uma AIPD?. O GDPR estipula que uma AIPD é obrigatória quando são usadas novas tecnologias que possam afetar a proteção dos dados pessoais, por definição de perfis ou monitoramento em massa. De acordo com a ISO27001, a AIPD é uma parte essencial de um sistema de gestão de segurança da informação (ISMS). A realização de uma AIPD, e sua aprovação pela gerência, faz parte das boas práticas para que a empresa não possa ser responsabilizada por futuros incidentes de segurança. O GDPR estipula que uma AIPD é obrigatória para qualquer alteração dos processos, projetos ou políticas atuais.

Imagine que você trabalha para uma grande organização. Sua organização está utilizando ferramentas de softwares que facilitam o monitoramento dos funcionários em relação a seu trabalho nos computadores. As ferramentas indicam quando algum repouso ou alongamento é necessário, com base em algoritmos gerais e indicadores de tempo. A ideia agora é aumentar a funcionalidade, conectando a ferramenta de monitoramento a um medidor da frequência cardíaca para personalizar o aconselhamento sobre os horários de repouso. Por que você deve conduzir uma AIPD?. Essa é uma nova aplicação que inclui o processamento de dados pessoais sensíveis. Uma AIPD é exigida para novas ferramentas ou processos. A ferramenta monitora os funcionários e, como consequência, inclui o processamento de dados pessoais. Essa é uma nova aplicação que envolve o monitoramento do comportamento em larga escala em um espaço público.

Você acaba de começar seu novo emprego como Chief Privacy Officer, trabalhando para o Departamento Nacional (Ministério) de Transportes. Um novo projeto é anunciado para monitorar o comportamento das pessoas ao dirigir nas rodovias nacionais. O Departamento pretende usar um sistema inteligente de análise de vídeo para discriminar os carros e automaticamente reconhecer os números das placas. Uma manhã, a Secretária de Estado entra em seu escritório. Aparentemente, ela tem pressa para iniciar o projeto e expressa a preocupação de que as questões de privacidade possam provocar atrasos indesejáveis. O que você deve dizer?. Você informa a ela que a natureza do processamento de dados planejado justifica o exame por meio de uma AIPD. Os riscos resultantes e as medidas para mitigação de risco devem ser incorporados ao plano do projeto. Você pede que ela entre em contato com a autoridade supervisora, já que essa é uma questão de importância nacional que claramente está acima de sua autoridade. Você informa a ela que não há necessidade de uma AIPD, desde que as pessoas sejam adequadamente informadas sobre a finalidade e o escopo das atividades de processamento. Você diz a ela que o projeto deve ser seriamente reconsiderado, uma vez que o GDPR proíbe operações de processamento de dados de “alto risco”, como vigilância em massa e definição de perfis.

O GDPR especifica que uma Avaliação de Impacto sobre a Proteção de Dados (AIPdeve ser realizada em determinadas situações, mas não informa como realizá-la na verdade. Mesmo assim, a regulamentação específica de modo explícito um conjunto mínimo de resultados desejados de uma AIPD. Considerando esse conjunto mínimo de resultados desejados, que atividade sempre deve fazer parte de uma AIPD?. Identificar os dados pessoais que são processados e os objetivos do processamento. Desenvolver um procedimento de solicitação de acesso pelos indivíduos para proteger os direitos dos titulares dos dados. Notificar os titulares dos dados sobre a ocorrência de uma avaliação e solicitar seu consentimento explícito. Estabelecer um plano de resposta a incidentes e definir salvaguardas apropriadas para evitar violações de dados.

Uma empresa decide utilizar melhor os dados de seus clientes, para ser capaz de detectar e analisar tendências e melhorar suas previsões. Uma nova unidade organizacional será montada. Especialistas em dados estabelecerão um banco de dados, usando as ferramentas de análise de dados mais recentes. Em sua função como Data Protection Officer (DPO), você expressou preocupações sinceras de que essa seja uma empreitada de alto risco que afetará negativamente os direitos dos titulares dos dados. Contudo, o CIO e o CEO desejam prosseguir com o desenvolvimento e parecem relutantes em responder a suas preocupações. Qual seria a melhor medida a ser tomada?. Conduzir uma AIPD e discutir os resultados e possíveis medidas de redução de risco com a diretoria e outras partes interessadas. Envolver o CIO na anonimização dos dados, para que o GDPR não seja mais aplicável. Preparar uma pesquisa com os clientes para consultá-los e solicitar seu consentimento explícito para o processamento em questão. Entrar em contato com a autoridade supervisora, buscar seu parecer sobre o processamento pretendido e pedir sua ajuda para explicar os riscos.

Por que uma Avaliação de Impacto sobre a Proteção de Dados (AIPpode ser vista como parte do gerenciamento de riscos de uma organização?. Uma AIPD pretende identificar riscos para os titulares dos dados, que precisem ser mitigados pela organização. Uma AIPD pretende identificar riscos de segurança para a organização, que precisem ser mitigados pela organização. Uma AIPD pretende medir o impacto, o que é necessário para classificar os riscos. A AIPD é necessária para que uma organização esteja em conformidade com o GDPR.

Em uma AIPD, é importante identificar os riscos para a privacidade. A etapa seguinte consistiria em eliminar esses riscos ou reduzi-los até um nível aceitável (resposta ao risco). Que medida constituiria uma resposta típica ao risco?. Reduzir a quantidade de dados coletados. Definir a métrica para efetividade. Estabelecer um registro de riscos para a privacidade. Aprovar e registrar o resultado da AIPD.

Se uma Avaliação de Impacto sobre a Proteção de Dados (AIPprecisa ser realizada, vários elementos são exigidos pelo GDPR. Dois desses elementos representam uma avaliação de proporcionalidade e necessidade, e uma avaliação de medidas para mitigar os riscos identificados. Que outro elemento é exigido pelo GDPR como parte de uma AIPD?. Uma avaliação dos riscos para a privacidade dos titulares dos dados. Um protocolo sobre como lidar com casos de violação de dados. Um relatório público do resultado da AIPD.

Você é responsável por um projeto em sua organização que inclui o processamento de dados pessoais. Como parte de sua responsabilidade, você decide realizar uma Avaliação de Impacto sobre a Proteção de Dados (AIPe começar o mapeamento dos dados. Por que o mapeamento dos dados é uma parte útil do processo de AIPD?. Ele ajuda a ter uma visão geral dos riscos para os dados pessoais. Ele ajuda a ter uma visão geral dos sistemas usados para processamento dos dados. Ele ajuda a identificar a finalidade do processamento.

Uma organização vai tomar decisões automatizadas sobre seus clientes, com base na definição de perfis. Seria mais apropriado prestar atenção a qual aspecto do processo de Avaliação de Impacto sobre a Proteção de Dados (AIPnesse caso?. Medidas para proteger os direitos do titular do dado, facilitando a intervenção humana. Avaliação da necessidade de realizar uma AIPD em relação a essa atividade de processingamento. Avaliação do momento em que os dados serão apagados. Medidas para proteger os dados e impedir que sejam acessíveis para os titulares dos dados.

Você é a pessoa responsável em sua organização por uma Avaliação de Impacto sobre a Proteção de Dados (AIPD). No contexto dessa AIPD, você consulta alguns de seus colegas para criar uma descrição adequada das atividades e dos objetivos do processamento proposto. Durante essa consulta, fica aparente que o processamento inclui a coleta de dados pessoais que não são estritamente necessários para os objetivos atuais, mas podem ter utilidade para objetivos futuros. Combinar a coleta com o processo atual é mais eficiente. O que você deve fazer nessa situação?. Exigir que os dados adicionais deixem de ser colhidos, uma vez que não são necessários para o objetivo do processamento para o qual a AIPD está sendo realizada. Permitir o processamento porque a eficiência constitui um interesse legítimo de sua organização, como indicado no Artigo 6 do GDPR. Exigir que os colegas apresentem uma fundamentação legítima para o processamento dos dados adicionais de acordo com o Artigo 6 do GDPR e permitir o processamento. Exigir que os dados sejam protegidos adequadamente para evitar uma violação de dados.

Você está conduzindo uma AIPD para um novo serviço oferecido por sua empresa, que necessariamente envolve o processamento em larga escala dos dados pessoais de clientes. Existe uma fundamentação legítima e um objetivo para o processamento e medidas apropriadas serão implementadas para mitigar os riscos para os direitos dos titulares dos dados envolvidos. Contudo, fica claro que, para que o serviço seja um sucesso, a aceitação dos clientes é essencial. Que medida específica você deve adotar para executar o processo de AIPD nesse caso específico?. Consultar os clientes ou seus representantes para conhecer suas opiniões sobre o processamento de seus dados pessoais. Consultar a Autoridade de Proteção de Dados (DPpara obter a confirmação da legalidade do processamento. Criar uma central de atendimento, onde os clientes possam pedir explicações sobre o serviço depois que ele for lançado. Enviar o relatório da AIPD aos clientes para garantir a eles que estão sendo adotadas medidas para mitigação de risco.

Você está empregado(como Data Protection Officer (DPO) em uma grande empresa de logística com uma clientela internacional. O chefe do departamento de Recursos Humanos relata que ele perdeu um pendrive criptografado contendo as informações pessoais de 35 funcionários. De acordo com a regulamentação do GDPR, por que isso deve ser relatado como uma violação de dados à autoridade supervisora?. O incidente deve ser relatado porque a perda de um dispositivo que contém dados pessoais representa um risco aos direitos e liberdades de pessoas físicas. Qualquer incidente de segurança que envolva a perda de dados confidenciais da empresa deve ser relatado como uma violação de dados. O incidente deve ser relatado sem demora injustificada, para que a autoridade supervisora possa informar os 35 funcionários que houve uma violação.

Em que situação uma organização deve relatar uma violação de dados à autoridade supervisora?. Em qualquer situação na qual um incidente tenha a probabilidade de provocar um risco aos direitos e liberdades de pessoas físicas. Em qualquer situação na qual exista uma ameaça de segurança que coloque em risco os direitos e liberdades de pessoas físicas. Apenas se uma organização não for capaz de resolver o incidente dentro de um prazo de 72 horas após sua ocorrência. Apenas se o incidente for reconhecido dentro de um prazo de 72 horas após sua ocorrência.

Em que situação uma organização deve relatar uma violação de dados aos titulares dos dados envolvidos?. Em qualquer situação na qual uma violação de dados tenha a probabilidade de provocar um "alto risco" para os direitos e liberdades de pessoas físicas. Em qualquer situação na qual exista um incidente de segurança que coloque em risco os direitos e liberdades dos titulares dos dados envolvidos. Apenas se a autoridade supervisora considerar que é necessário informar os titulares dos dados sobre a violação de dados. Apenas no caso de intenção maliciosa, quando dados pessoais forem comprometidos por agentes externos, como cibercriminosos.

Toda organização terá que lidar com violações de dados que devem ser notificadas à autoridade supervisora. Devido à natureza recorrente do processo de notificação, é aconselhável preparar um modelo para relato que inclua elementos como: a natureza da violação de dados pessoais; o provável impacto da violação; medidas para mitigação de riscos. Que outros elementos devem ser incluídos nesse modelo?. O número de titulares dos dados afetados; O nome e os detalhes de contato do DPO. O nome e os detalhes de contato do CEO; O plano de resposta a incidentes. Os nomes dos titulares dos dados afetados; O nome da pessoa responsável pela violação. O número do incidente de segurança; A análise de ameaça à cibersegurança.

Qual é a principal razão para disponibilizar publicamente a política de privacidade?. Permitir que clientes, parceiros e a autoridade supervisora avaliem como os dados pessoais são tratados. Permitir que clientes e parceiros verifiquem quais dados pessoais a organização deve processar. Comunicar o resultado das Avaliações de Impacto sobre a Proteção de Dados (DPIAs) realizadas na organização. Informar a autoridade supervisora sobre o modo como a organização responderá após uma violação de dados pessoais.

De acordo com o GDPR, qual informação não constitui uma parte obrigatória de uma política de privacidade?. Informações relativas às medidas para segurança dos dados na organização. Informações sobre transferências internacionais de dados pessoais a um país terceiro. Informações sobre a identidade e detalhes de contato do controlador. Informações relativas aos períodos de retenção e direitos do titular dos dados.

Por que as medidas organizacionais são necessárias para privacidade desde a concepção e por padrão?. Porque a proteção dos direitos dos titulares dos dados requer processos organizacionais que as medidas técnicas não conseguem cobrir. Porque a privacidade desde a concepção e por padrão requer que a organização limite o acesso a dados pessoais apenas aos controladores. Porque a designação de um Data Protection Officer (DPO), quando obrigatória, é considerada uma medida organizacional.

De acordo com a privacidade desde a concepção (by design), qual é o momento mais desejável para a discussão da proteção de dados?. No início do projeto. Durante a fase de implementação. Quando o projeto está quase completo.

Como classificar requisitos legais de diferentes países segundo a ISO/IEC 27701?. Questão externa, pois os requisitos legais, apesar de relevantes, são independentes da organização. Questão interna, pois os requisitos legais impactam diretamente o PIMS. Questão interna, pois os elementos relevantes são os prestadores de serviços. Questão externa, pois os prestadores de serviços atuam externamente.

Qual suporte não deve fazer parte do PIMS?. HD externo com informações sobre concorrentes. Arquivos em papel do RH com informações de saúde. Servidor com backup de dados dos clientes. Pen drives com informações de ex-funcionários.

O que é uma Declaração de Aplicabilidade (SoA)?. A SoA especifica que controles devem ser aplicados para gerenciar ou minimizar os riscos no PIMS. A SoA calcula a probabilidade de o processamento de dados resultar em alto risco para as pessoas. A SoA registra onde e como os dados pessoais dos funcionários e clientes são processados.

A qual requisito do PIMS se refere a necessidade de demonstrar como políticas e procedimentos são formulados?. Documentação. Auditoria. Avaliação do sistema de gestão. Declaração de Aplicabilidade (SoA).

Por que a alta gestão deve avaliar o progresso do PIMS?. Para assegurar que o PIMS seja eficaz e cumpra os requisitos corporativos. Para assegurar que o PIMS esteja em conformidade com todos os requisitos legais relevantes. Para assegurar que o PIMS tenha controles de privacidade suficientes para mitigar riscos. Para assegurar que o PIMS seja auditado regularmente e esteja produzindo documentos.

Qual é o principal objetivo das auditorias do PIMS segundo a ISO/IEC 27701?. Monitorar a conformidade entre os requisitos do sistema de gestão e as práticas de trabalho. Confirmar que os requisitos das normas nacionais e internacionais relevantes sejam mantidos. Identificar áreas específicas de preocupação e abordar a seleção dos processos individuais de trabalho. Incluir atualizações das mudanças relevantes na legislação e na regulamentação e sua interpretação.

Qual deve ser o próximo passo para a equipe jurídica ao implementar um PIMS?. Mapear a legislação aplicável e as sanções legais correspondentes e revisar todos os contratos que envolvam processamento de dados pessoais. Contratar assessoria jurídica local e aplicar a ISO/IEC 27701 como norma contratual. Pesquisar as melhores práticas internacionais aplicáveis e revisar todos os contratos. Solicitar orientação da autoridade de fiscalização local e aplicar a ISO/IEC 27701 como norma contratual.

Qual é o meio mais adequado para demonstrar conformidade com a ISO/IEC 27701 durante uma fusão?. Um relatório recente de auditoria do PIMS. Um relatório de Avaliação de Impacto sobre a Proteção de Dados (DPIA). Um relatório de Avaliação de Impacto à Privacidade (PIA). Um relatório sobre Declaração de Aplicabilidade (SoA).

Como a certificação ISO/IEC 27701 ajuda na seleção de fornecedor de nuvem?. A certificação reduz a necessidade de auditar os fornecedores. A certificação inclui uma análise de cost-benefício, garantindo menores custos. A certificação da organização tem procedimentos que se extendem a qualquer fornecedor. A certificação da organização exige um fornecedor com a mesma certificação.

O que é verdadeiro sobre a relação entre PIMS e ISMS?. As auditorias do ISMS e do PIMS podem ser combinadas ou realizadas separadamente. As auditorias do ISMS e do PIMS nunca devem ser realizadas em conjunto. O ISMS faz parte do PIMS e trata da proteção da informação.

Qual é a relação entre a exigência GDPR de segurança e confidencialidade e a ISO/IEC 27701?. Os princípios GDPR de integridade e confidencialidade formam a base do PIMS. Os princípios GDPR de licitude, lealdade e transparência contribuem para o PIMS e ISMS. O princípio GDPR da limitação de finalidade estabelece como os dados devem ser utilizados. O princípio GDPR da limitação de armazenamento especifica o tempo que os dados ficam no PIMS.

Que tipo de recomendação não está incluído no capítulo de diretrizes adicionais da ISO/IEC 27701?. Planejar auditorias internas e externas em intervalo específico. Desenvolver políticas de privacidade separadas ou combinadas com políticas de segurança. Assegurar treinamento de conscientização para funcionários que processam dados pessoais. Rotular todos os dados para identificar onde os dados pessoais são armazenados.

Qual é a ordem correta das etapas para aplicar controles do PIMS?. 2, 1, 3 (Elaborar SoA, Comparar controles, Implementar controles). 1, 2, 3 (Comparar controles, Elaborar SoA, Implementar controles). 1, 3, 2 (Comparar controles, Implementar controles, Elaborar SoA). 2, 3, 1 (Elaborar SoA, Implementar controles, Comparar controles).

De acordo com o GDPR, qual atividade é sempre uma responsabilidade do controlador?. Ser responsável pela realização de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA). Contratar uma empresa de segurança para a proteção de dados pessoais em trânsito. Implementar um novo método para coleta de dados pessoais dos clientes. Manter registros das atividades de processamento realizadas pelo processador.

Por que o hospital será responsabilizado por erro da gráfica?. Porque o hospital é o controlador. Porque o contrato determina assim. Porque a mistura ocorreu entre pacientes. Porque a verificação não funcionou.

Quando o processador sempre precisa de autorização por escrito do controlador?. Quando o processador contrata um terceiro para processar dados pessoais. Quando o processador contrata uma empresa para proteger os dados durante transferências. Quando o processador implementar um novo método para coleta de dados pessoais. Quando o processador implementar um novo método para exclusão de dados pessoais.

Quem tem a obrigação legal de manter os registros das atividades de processamento?. O controlador e o processador. O Diretor de Informações (CIO). O Chief Privacy Officer. O Data Protection Officer (DPO).

Por que é obrigatório indicar um DPO para uma organização que processa dados étnicos em larga escala?. As categorias especiais de dados pessoais são processadas. Os dados pessoais de estrangeiros são processados. Os dados pessoais são processados por um país terceiro. Os dados pessoais de minorias são processados.

O que o DPO deve fazer sobre um projeto de monitoramento de rodovias?. Informar que uma DPIA é obrigatória para o monitoramento em larga escala de um espaço público. Pedir que entre em contato com a autoridade supervisora. Garantir que uma DPIA é desnecessária se os titulares forem informados. Solicitar que reconsiderem o projeto porque o processamento é proibido.

Em relação a qual parte o DPO está isento do sigilo para buscar orientação?. A autoridade supervisora. A diretoria da empresa. Os membros de uma rede de proteção de dados e privacidade. O Diretor de Segurança de Informações (ISO).