PDPP 14/10

De acordo com o GDPR, qual é um dos principais objetivos das políticas internas de proteção de dados?. Demonstrar conformidade com os princípios de proteção de dados desde a concepção e por padrão. Substituir a necessidade de um Encarregado de Dados (DPO). Reduzir a necessidade de notificação de violações de dados. Eliminar a necessidade de realizar Avaliações de Impacto de Proteção de Dados (AIPD).

O que deve ser incluído no "teor" ou conteúdo de uma política de proteção de dados eficaz?. A justificativa, o escopo, as definições de contatos e responsabilidades (RACI), um objetivo e como as violações serão tratadas. A lista completa de todos os titulares de dados. Os detalhes técnicos de todos os sistemas de criptografia utilizados. O orçamento anual para segurança da informação.

A "Proteção de Dados por Padrão" (Data Protection by Default) exige que: Os dados pessoais não sejam disponibilizados, sem intervenção individual, para um número indefinido de pessoas. Os usuários configurem manualmente as configurações de privacidade mais restritivas. O processamento de dados só ocorra após aprovação manual para cada operação. Todos os dados sejam criptografados, independentemente do risco.

Qual dos seguintes NÃO é um dos sete princípios fundamentais da "Privacidade desde a Concepção" (Privacy by Design), conforme definido pela IPC Ontario?. Anonimização obrigatória de todos os dados. Proativo e não Reativo. Segurança de Ponta a Ponta. Funcionalidade Total (soma positiva, não soma zero).

O princípio da "Privacidade Incorporada ao Design" significa que: A privacidade é um componente essencial da funcionalidade central, integrada à arquitetura do sistema. A privacidade é um acessório que pode ser adicionado após o desenvolvimento do sistema. A privacidade é de responsabilidade exclusiva do departamento jurídico. A funcionalidade do sistema é sempre mais importante que a privacidade.

Para ter sucesso, as políticas de proteção de dados precisam ser: Documentadas, concisas, auditáveis e exequíveis. Genéricas para se aplicarem a todos os cenários. Complexas para cobrir todas as possibilidades. Mantidas em sigilo para evitar exploração de vulnerabilidades.

O que o princípio "Respeito à Privacidade do Usuário" (User-Centric) defende?. Os arquitetos e operadores devem manter os interesses do indivíduo em primeiro lugar. Os interesses da organização sempre têm prioridade. A conveniência do usuário é o fator mais importante, mesmo que comprometa a segurança. Os usuários são responsáveis por sua própria privacidade.

A proteção de dados "por concepção" e "por padrão" é um requisito para demonstrar conformidade com qual regulamento?. GDPR (Regulamento Geral de Proteção de Dados). LGPD (Lei Geral de Proteção de Dados Brasileira). ISO/IEC 27001. Nenhum dos acima, é apenas uma boa prática.

Uma política de privacidade, diferente de uma política interna de proteção de dados, é caracterizada por: Estar disponível ao público e descrever como a organização lida com os dados dos titulares. Ser um documento interno e confidencial. Conter detalhes técnicos sobre firewalls e sistemas de detecção de intrusão. Ser direcionada apenas para auditores internos.

O princípio da "Visibilidade e Transparência" em Privacy by Design pode ser alcançado através de: Uso de padrões abertos, avaliação externa e publicação de políticas de segurança. Ocultação de processos para proteger segredos comerciais. Restrição de acesso a todas as informações sobre processamento. Criptografia de todas as comunicações internas.

Um exemplo de medida que atende ao "by design" é: Pseudonimização de dados. Notificação de violação após 72 horas. Nomeação de um DPO apenas quando obrigatório. Realização de uma AIPD apenas para processos de alto risco evidente.

Qual é a relação entre políticas, planos e procedimentos no contexto da proteção de dados?. Políticas "dizem o que fazer", planos/procedimentos "dizem como fazer". Procedimentos substituem a necessidade de políticas. Planos são documentos estáticos que não se relacionam com as políticas. Políticas detailham os passos técnicos, enquanto os procedimentos definem a estratégia.

O princípio "Proativo e não Reativo" implica que a organização deve: Antecipar e prevenir eventos invasivos de privacidade antes que aconteçam. Agir apenas após a ocorrência de um incidente. Contratar seguros para cobrir possíveis multas. Focar em medidas corretivas em vez de preventivas.

A implementação dos princípios de "by design" pode ser suportada pela introdução de: Arquitetura corporativa. Planos de resposta a incidentes. Central de atendimento ao cliente. Política de trabalho remoto.

O princípio da "Funcionalidade Total" busca: Encontrar soluções "ganha-ganha" que atendam a todos os objetivos legítimos (ex: privacidade E segurança). Maximizar a funcionalidade em detrimento da segurança. Garantir que apenas os recursos essenciais sejam utilizados. Priorizar a privacidade sobre a usabilidade do sistema.

A "Segurança de Ponta a Ponta" requer que as medidas de segurança protejam os dados: Durante todo o ciclo de vida dos dados, do recolhimento à destruição. Apenas durante a transmissão. Apenas durante o armazenamento. Apenas nos sistemas considerados críticos.

Para serem exequíveis, as políticas devem ser: Apoiadas por processos e procedimentos que produzam evidências de conformidade. De difícil compreensão para garantir a segurança. Revistas apenas uma vez por ano. Aplicadas apenas aos colaboradores de nível operacional.

A proteção de dados "por padrão" aplica-se a: Quantidade de dados coletados, extensão do processamento, período de armazenamento e acessibilidade. Apenas aos dados considerados sensíveis. Apenas a organizações do setor público. Apenas a processos de marketing.

O que é necessário para que as políticas sejam consideradas "auditáveis"?. Que sejam capazes de comprovar a conformidade através de evidências. Que sejam armazenadas em local seguro. Que sejam escritas em mais de um idioma. Que sejam acessíveis a todos os colaboradores.

A criação de diretrizes práticas baseadas nos 7 princípios de Privacy by Design é uma forma de: Colocar os conceitos em prática dentro da organização. Atender a um requisito opcional da ISO 27001. Substituir a necessidade de uma Avaliação de Impacto (AIPD). Reduzir a responsabilidade do Controlador de dados.

A ISO/IEC 27701 é uma extensão de qual padrão internacional?. ISO/IEC 27001 (Sistemas de Gestão de Segurança da Informação). ISO 9001 (Gestão da Qualidade). ISO 22301 (Gestão de Continuidade de Negócios). ISO 20000 (Gestão de Serviços de TI).

O que é uma Declaração de Aplicabilidade (SoA) no contexto de um PIMS?. Um documento que detalha quais controles do PIMS são aplicados e quais não são. A política de privacidade pública da organização. O contrato entre controlador e processador de dados. O registro de todas as violações de dados pessoais.

Para que um PIMS seja certificado conforme a ISO/IEC 27701, é necessário: Que a organização também mantenha um ISMS certificado conforme a ISO/IEC 27001 com escopo que cubra pelo menos o escopo do PIMS. Que a organização seja sediada na União Europeia. Que a organização processe apenas dados não-pessoais. Que a auditoria seja conduzida por uma autoridade governamental.

O Anexo A da ISO/IEC 27701 fornece diretrizes específicas para: Controladores de dados. Apenas autoridades de supervisão. Desenvolvedores de software. Titulares de dados.

Qual das seguintes é uma categoria de controle no Anexo A e B da ISO/IEC 27701?. Privacidade por design e por padrão. Gestão de Ativos de TI. Controle de Acesso Lógico. Segurança de Redes.

A ISO/IEC 27701 exige que a organização determine e considere "questões internas e externas" relevantes para o PIMS. Um exemplo de questão externa é: A necessidade de cumprir requisitos legais e regulamentares como o GDPR. A gestão de pessoal e relatórios internos. A cultura organizacional. A estrutura de governança de TI.

O papel da alta liderança em um PIMS inclui: Aprovar as políticas corporativas e os recursos necessários para o PIMS. Realizar todas as Avaliações de Impacto de Privacidade (PIAs) pessoalmente. Operar diariamente os sistemas de segurança. Substituir as funções do Encarregado de Dados (DPO).

A ISO/IEC 27701 fornece um mapeamento de seus controles para: O Regulamento Geral de Proteção de Dados (GDPR). A Lei Sarbanes-Oxley (SOX). O padrão PCI DSS. A lei de copyright dos EUA.

Um dos benefícios de implementar um PIMS é: Demonstrar accountability (responsabilização) através da documentação clara de políticas e controles. Eliminar completamente o risco de violação de dados. Garantir a isenção de multas por violação de dados. Reduzir a necessidade de treinamento de funcionários.

O Anexo B da ISO/IEC 27701 é direcionado a: Processadores de dados. Controladores de dados. Titulares de dados. Autoridades de supervisão.

A ISO/IEC 27701 usa predominantemente qual termo para se referir a "dados pessoais"?. Informações de Identificação Pessoal (PII). Dados Sensíveis. Dados Corporativos. Metadados.

O que a ISO/IEC 27701 requer em relação à documentação?. Que a organização mantenha registros para demonstrar como as políticas e procedimentos foram formulados e implementados. Que toda a documentação seja eliminada após um ano. Que apenas a alta direção tenha acesso à documentação. Que a documentação seja escrita apenas em formato eletrônico.

As auditorias internas de um PIMS têm como principal objetivo: Monitorar a conformidade entre os requisitos do PIMS e as práticas de trabalho. Substituir a auditoria de certificação. Culpar departamentos por falhas. Reduzir custos com segurança.

O processo de Revisão pela Direção do PIMS deve ocorrer: Em intervalos regulares planejados (ex: anualmente). A cada 5 anos. Apenas quando ocorre uma violação de dados. Apenas antes da auditoria de certificação.

A ISO/IEC 27701 exige que sejam consideradas as necessidades e expectativas de quais partes interessadas?. De partes interessadas relevantes, incluindo titulares de dados, reguladores e diretores. Apenas dos acionistas. Apenas dos clientes. Apenas dos funcionários.

A certificação para a ISO/IEC 27701 é acreditada de acordo com qual padrão?. ISO/IEC 17021. ISO/IEC 17065. ISO 9001. Nenhuma, pois não é uma norma certificável.

O controle do PIMS que trata da "minimização de dados" está principalmente associado à categoria: Privacidade por design e por padrão. Compartilhamento, transferência e divulgação de PII. Obrigações para os titulares de PII. Condições para coleta e processamento.

O Anexo C da ISO/IEC 27701 fornece um mapeamento entre os controles da norma e: Os princípios de privacidade da ISO/IEC 29100. A LGPD brasileira. O framework NIST. A lei de proteção de dados da Califórnia (CCPA).

Ao lidar com um subcontratado (processador de dados), a organização controladora deve: Considerar as atividades do subcontratado como extensões de suas próprias atividades. Transferir toda a responsabilidade legal para o subcontratado. Ignorar os controles do subcontratado, pois são de sua responsabilidade exclusiva. Evitar a todo custo a realização de auditorias no subcontratado.

A implementação de um PIMS compatível com a ISO/IEC 27701 é tipicamente um projeto que: Equivale a uma mudança significativa nos negócios, exigindo governança adequada. Envolve apenas o departamento de TI. Pode ser concluído sem a participação da alta direção. Não requer uma avaliação de riscos.

De acordo com o GDPR, quem é o "Controlador" de dados?. A pessoa singular ou coletiva que determina os fins e os meios do tratamento de dados pessoais. A entidade que processa dados em nome de outra. A autoridade supervisora independente. O indivíduo a quem se referem os dados pessoais.

Qual é uma responsabilidade PRIMÁRIA do "Processador" de dados?. Processar dados pessoais apenas sob instruções documentadas do controlador. Determinar as finalidades legais para o processamento. Notificar diretamente a autoridade supervisora em caso de violação, sem consultar o controlador. Realizar Avaliações de Impacto de Proteção de Dados (AIPDs) para todas as operações.

Sob quais condições a nomeação de um DPO (Encarregado de Proteção de Dados) é OBRIGATÓRIA pelo GDPR?. Quando as atividades principais consistem em operações de tratamento que exigem monitorização regular e sistemática de titulares em larga escala. É sempre obrigatória para todas as organizações. Apenas para empresas com mais de 250 funcionários. Apenas para organizações do setor público.

Em uma situação de "Controladores Conjuntos": Eles devem estabelecer de forma transparente as suas respectivas responsabilidades pela conformidade com o GDPR. Apenas um deles é responsável pela conformidade. Nenhum deles precisa de um contrato. O processador assume o papel de controlador.

O DPO deve reportar diretamente a: Ao mais alto nível de gestão do controlador ou processador. Ao departamento de marketing. Apenas à autoridade supervisora. A um gerente de nível intermediário.

Um hospital que processa registos de saúde eletrónicos dos seus pacientes deve, geralmente: Nomear um DPO, pois o processamento de dados de saúde é uma atividade principal que envolve dados sensíveis em larga escala. Evitar nomear um DPO para proteger o sigilo médico. Nomear um DPO apenas se for uma entidade privada. Delegar a função de DPO para um consultor externo, o que é proibido.

Qual das seguintes NÃO é uma tarefa do DPO, de acordo com o GDPR?. Assumir a responsabilidade pela conformidade no lugar do controlador. Monitorar a conformidade com o GDPR. Realizar a avaliação de impacto de proteção de dados (AIPD). Ser o ponto de contacto para a autoridade supervisora.

Um processador de dados que determina os fins e os meios de processamento por sua própria iniciativa será considerado: Um controlador em relação a esse processamento específico. Apenas um processador. Isento das obrigações do GDPR. Um subcontratante.

Controladores ou processadores estabelecidos fora da União Europeia, mas que visam oferecer bens ou serviços a titulares de dados na UE: Devem nomear um representante na UE, a menos que existam exceções aplicáveis. Estão isentos do GDPR. Só precisam cumprir as leis locais do seu país. Podem ignorar os direitos dos titulares de dados.

O contrato entre controlador e processador deve estipular que o processador: Deve implementar medidas de segurança técnicas e organizacionais apropriadas. Pode envolver outro subprocessador sem autorização do controlador. É o responsável final pela conformidade com o GDPR. Não precisa cooperar com o controlador em pedidos de titulares de dados.

O DPO deve ser envolvido: Em todas as questões relacionadas à proteção de dados pessoais. Apenas em questões legais complexas. Apenas após a ocorrência de uma violação de dados. Apenas na revisão de contratos com fornecedores.

Um exemplo de onde uma pequena empresa familiar NÃO seria obrigada a nomear um DPO é: Se suas atividades principais não envolverem monitorização regular e sistemática de titulares em larga escala, nem o processamento de categorias especiais de dados em larga escala. Se ela usar os serviços de um processador que é obrigado a nomear um DPO. Se ela estiver localizada fora da União Europeia. Se ela processar dados de funcionários.

O princípio da "independência" do DPO significa que: O DPO não pode receber instruções sobre o exercício de suas tarefas e não pode ser penalizado por desempenhá-las. O DPO não pode ser demitido. O DPO pode ignorar a legislação nacional. O DPO reporta apenas à autoridade supervisora.

Qual das seguintes é uma responsabilidade do Controlador?. Nomear um representante na UE, se aplicável. Processar dados apenas sob instruções do Processador. Determinar os aspectos técnicos do processamento, como os sistemas utilizados. Manter o registo das atividades de tratamento apenas para o Processador.

O DPO pode desempenhar outras funções na organização, desde que: Não resultem num conflito de interesses. Sejam funções de alto nível, como CEO. Sejam relacionadas com marketing e vendas. Sejam aprovadas pela autoridade supervisora.

Em caso de violação de dados pessoais, quem tem a obrigação de notificar a autoridade supervisora?. O Controlador de Dados. O Titular dos Dados. O DPO. O Processador de Dados.

A relação entre Controlador e Processador deve ser regida por: Um contrato ou outro ato jurídico que atenda aos requisitos do Artigo 28 do GDPR. Um acordo verbal de confiança. A política de segurança da informação do Processador. A legislação local apenas.

A função de DPO é definida pelo GDPR como: Um papel protegido por lei e independente. Um papel opcional de relações públicas. Um papel com responsabilidade penal substituta. Um papel focado apenas em auditoria interna.

O Processador de Dados é obrigado a: Fornecer ao Controlador todas as informações necessárias para demonstrar conformidade. Determinar a base legal para o processamento. Realizar a AIPD para as operações do Controlador. Notificar diretamente os titulares dos dados em caso de violação.

Um DPO pode ser: Um membro do pessoal da organização ou um prestador de serviços externo. Apenas um funcionário interno da organização. Apenas uma pessoa singular. Apenas um consultor jurídico.

De acordo com o GDPR, uma Avaliação de Impacto de Proteção de Dados (AIPD/DPIA) é obrigatória quando: Um tipo de processamento é suscetível de resultar em alto risco para os direitos e liberdades dos titulares de dados. Uma organização processa dados de funcionários. Uma organização implementa um novo software antivírus. Uma organização realiza uma auditoria interna anual.

Qual das seguintes situações é um exemplo onde uma AIPD provavelmente seria necessária?. Um sistema de câmeras de CCTV para monitorizar o comportamento de condução em estradas, usando análise de vídeo inteligente. Uma lista de e-mail para enviar uma newsletter diária genérica aos assinantes. Processamento de dados de contacto de clientes para faturação. Um site de e-commerce que exibe anúncios não personalizados.

O que deve ser descrito no início de uma AIPD?. Uma descrição do processamento proposto e suas finalidades. O orçamento do projeto. O organograma da equipa de TI. A estratégia de marketing para o novo produto.

Um dos resultados esperados de uma AIPD é: Uma avaliação da necessidade e proporcionalidade do processamento. A garantia de que nenhum risco irá materializar-se. A eliminação da necessidade de notificação de violações. A isenção de todas as obrigações do GDPR.

Quando um processamento é considerado de "alto risco" para justificar uma AIPD?. Quando envolve a avaliação sistemática e abrangente de aspetos pessoais com base em processamento automatizado, incluindo criação de perfis. Quando envolve a utilização de qualquer tipo de tecnologia. Quando é realizado por uma organização com mais de 50 funcionários. Apenas quando os dados são transferidos para fora da UE.

Se, após uma AIPD, o risco residual permanecer alto, o que deve fazer o controlador?. Consultar a autoridade supervisora antes de iniciar o processamento. Proceder com o processamento, uma vez que a AIPD foi concluída. Ignorar o risco, pois a AIPD já documentou o problema. Notificar imediatamente os titulares dos dados.

Qual é um dos critérios adicionais (do Considerando 91) que pode indicar a necessidade de uma AIPD?. O processamento envolve a utilização de novas tecnologias em grande escala. O processamento é realizado por uma microempresa. Os dados são processados manualmente em papel. O controlador já processa dados semelhantes há muitos anos.

Qual é um dos primeiros passos no processo de AIPD?. Identificar a necessidade de uma AIPD. Notificar a autoridade supervisora. Aplicar todas as medidas de segurança possíveis. Obter o consentimento de todos os titulares de dados.

O mapeamento de dados (descrever os fluxos de informação) durante uma AIPD é importante porque: Permite compreender o ciclo de vida dos dados e identificar onde os riscos podem ocorrer. É um requisito explícito do Artigo 35º do GDPR. Substitui a necessidade de uma avaliação de risco. É necessário apenas para dados sensíveis.

Quem é o principal responsável por garantir que uma AIPD seja realizada?. O Controlador de Dados. O Encarregado de Proteção de Dados (DPO). O Processador de Dados. Autoridade de Supervisão.

O papel do DPO no processo de AIPD é: Fornecer aconselhamento e monitorizar o processo de AIPD. Realizar a AIPD de forma independente. Assumir a responsabilidade legal pelos resultados da AIPD. Aprovar o processamento após a conclusão da AIPD.

A AIPD deve focar-se em riscos para: Os direitos e liberdades dos titulares dos dados. Apenas a reputação da organização. Apenas a conformidade legal da organização. Apenas a segurança física dos locais de processamento.

A "avaliação da necessidade e proporcionalidade" em uma AIPD refere-se a: Se o processamento é necessário para atingir um objetivo legítimo e se é proporcional a esse objetivo. Se a organização tem recursos financeiros suficientes. Se a tecnologia a ser utilizada é a mais recente do mercado. Se os concorrentes já realizam o mesmo processamento.

Quando uma única AIPD pode ser utilizada para avaliar um conjunto de operações de processamento?. Quando as operações são semelhantes em natureza, escopo, contexto, finalidades e riscos. Nunca. É necessária uma AIPD para cada operação individual. Apenas para operações de processamento de baixo risco. Apenas se todas as operações utilizarem a mesma base legal.

A consulta às partes interessadas (ex.: titulares de dados) durante uma AIPD é: Opcional, mas considerada uma boa prática. Obrigatória em todos os casos. Proibida pelo GDPR para proteger a confidencialidade. Necessária apenas se a autoridade supervisora o exigir.

O que é um "risco residual" no contexto de uma AIPD?. O risco que permanece após a implementação das medidas de mitigação planeadas. O risco que existe antes de quaisquer controlos serem aplicados. O risco associado a desastres naturais. O risco de não realizar uma AIPD.

Um Plano de Tratamento de Riscos (RTP) numa AIPD deve incluir: As etapas operacionais, responsabilidades e prazos para implementar medidas de mitigação. A lista de todos os titulares de dados afetados. O texto completo da política de privacidade. Os resultados financeiros trimestrais da organização.

A AIPD deve ser realizada: Antes do início do processamento ("antes do tratamento"). Apenas após a ocorrência de uma violação de dados. Durante a auditoria anual de segurança. Apenas quando solicitada por um titular de dados.

A orientação da ICO (Reino Unido) sugere que uma AIPD é aconselhável para um novo projeto que: Envolva a utilização de informações de um tipo particularmente suscetível de levantar preocupações de privacidade (ex.: registos de saúde). Seja uma atualização de rotina de um sistema existente sem alterações funcionais. Envolva apenas dados anonimizados. Tenha um orçamento inferior a um determinado valor.

A fase de "identificação e avaliação de soluções de privacidade" numa AIPD envolve: Tomar decisões sobre como tratar cada risco identificado (ex.: aceitar, mitigar, partilhar o risco). Selecionar o fornecedor de software mais barato. Consultar apenas o departamento jurídico. Ignorar riscos com baixa probabilidade de ocorrência.

O processamento em "larga escala" é um fator a considerar para uma AIPD. Para determinar a "larga escala", uma organização deve considerar: O número de titulares de dados, o volume de dados e a duração/permanência da atividade de processamento. Apenas o número de titulares de dados. Apenas o valor financeiro dos dados. Apenas a localização geográfica do processamento.

A AIPD deve documentar as "medidas previstas para enfrentar os riscos". Isto refere-se a: As medidas de segurança e salvaguardas que serão implementadas para mitigar os riscos identificados. O plano de comunicação de marketing. A estratégia de backup e recuperação de desastres para todos os sistemas. As políticas de recursos humanos para contratação.

O princípio da "proporcionalidade" numa AIPD implica que: As medidas de mitigação devem ser adequadas e proporcionais ao risco e à gravidade potencial para o titular dos dados. As medidas de segurança devem ser desproporcionais ao risco para garantirem máxima proteção. Os custos da AIPD não devem ser superiores ao orçamento do projeto. Apenas os riscos com alta probabilidade devem ser considerados.

Se uma organização não tem a expertise interna para realizar uma AIPD, ela deve: Consultar a autoridade supervisora e/ou procurar aconselhamento externo especializado. Ignorar a AIPD, pois é demasiado complexa. Proceder com o processamento sem a AIPD. Delegar a tarefa para o processador de dados, que se torna automaticamente responsável.

A integração dos resultados da AIPD no plano do projeto significa que: Os resultados e medidas de mitigação devem influenciar e ser incorporados no design e na implementação do projeto. A AIPD deve ser arquivada e não mais consultada. O plano do projeto deve ser mantido em segredo da equipa de privacidade. O orçamento do projeto deve ser reduzido pelo valor gasto na AIPD.

A avaliação dos riscos numa AIPD deve considerar: Tanto a probabilidade como a gravidade do impacto para os direitos e liberdades dos titulares. Apenas a probabilidade de o risco se materializar. Apenas o impacto potencial para a organização. Apenas o impacto financeiro para a organização.

Um exemplo de medida que poderia ser incluída num plano de tratamento de riscos é: Implementar a pseudonimização de um conjunto de dados. Aumentar o orçamento de publicidade. Contratar mais funcionários para o departamento de vendas. Alterar o logótipo da empresa.

A AIPD é uma ferramenta de: Gestão de Riscos. Gestão de Projetos. Gestão Financeira. Gestão de Recursos Humanos.

Após a conclusão e implementação da AIPD, a organização deve: Monitorizar e rever periodicamente a AIPD, especialmente se houver mudanças no processamento. Considerar o processo terminado permanentemente. Destruir os registos da AIPD após um ano. Enviar a AIPD para todos os titulares de dados.

O controlador deve registar e documentar a AIPD para: Cumprir com o princípio da accountability (responsabilização) e poder demonstrar conformidade. Atender a um requisito opcional da ISO 27701. Partilhar publicamente todos os detalhes internos do processamento. Substituir a necessidade de uma política de privacidade.

De acordo com o GDPR, o que constitui uma "violação de dados pessoais"?. Qualquer incidente de segurança que leve à destruição, perda, alteração, divulgação ou acesso não autorizado a dados pessoais. Apenas o acesso não autorizado a dados. Apenas o roubo de um servidor com dados. Apenas a perda de uma base de dados.

Qual é o prazo máximo para o controlador notificar a autoridade supervisora de uma violação de dados pessoais?. 72 horas após a tomada de conhecimento. 24 horas após a tomada de conhecimento. 48 horas após a tomada de conhecimento. 7 dias após a tomada de conhecimento.

Quando o controlador NÃO é obrigado a notificar a autoridade supervisora sobre uma violação?. Quando é improvável que a violação resulte num risco para os direitos e liberdades das pessoas singulares. Quando a violação envolve dados de funcionários. Quando a violação ocorre num sistema de backup. Quando a violação foi causada por um ataque de ransomware.

O que deve conter a notificação da violação à autoridade supervisora?. A natureza da violação, categorias e número aproximado de titulares afetados, consequências prováveis e medidas tomadas. Apenas uma declaração de que ocorreu uma violação. A lista completa de todos os titulares de dados afetados. O valor exato das perdas financeiras.

Quando o controlador deve notificar os titulares dos dados sobre uma violação?. Quando a violação for suscetível de resultar num alto risco para os direitos e liberdades dos titulares. Sempre que ocorrer qualquer violação. Apenas se a autoridade supervisora o exigir. Apenas se mais de 1000 titulares forem afetados.

Qual é a responsabilidade do processador ao tomar conhecimento de uma violação de dados?. Notificar o controlador sem demora injustificada. Notificar diretamente a autoridade supervisora dentro de 72 horas. Notificar diretamente os titulares dos dados. Nenhuma, pois a responsabilidade é apenas do controlador.

O controlador pode estar isento de notificar o titular dos dados em qual situação?. Se a notificação implicar um esforço desproporcional. Se o controlador já tiver notificado a autoridade supervisora. Se a violação ocorreu num fim-de-semana. Se o titular dos dados for menor de idade.

O que é essencial que uma organização tenha para responder eficazmente a uma violação de dados?. Um plano de resposta a incidentes pré-definido e testado. Apenas um bom departamento jurídico. Um fundo financeiro reservado para pagar multas. Conexões políticas com a autoridade supervisora.

A fase de "Preparação" na resposta a incidentes cibernéticos, segundo o modelo CREST, inclui: Realizar uma análise de ameaças de segurança cibernética. Identificar incidentes de segurança cibernética. Recuperar sistemas, dados e conectividade. Realizar uma revisão pós-incidente.

Após conter um incidente, qual é um dos objetivos da fase de "Acompanhamento"?. Realizar uma revisão pós-incidente para aprender com o ocorrido. Ignorar o incidente para evitar alarmismo. Despedir o responsável pelo incidente. Aumentar imediatamente os preços dos serviços para cobrir perdas.

Qual é a diferença entre um "evento" e um "incidente" de segurança da informação?. Um incidente é um subconjunto de eventos que indica uma violação provável da segurança. Um evento é sempre malicioso, um incidente é acidental. Não há diferença, os termos são sinónimos. Um evento é sempre reportado, um incidente não.

A obrigação de documentar todas as violações de dados pessoais, independentemente da necessidade de notificação, existe para: Permitir que a autoridade supervisora verifique a conformidade com o artigo de notificação. Preencher arquivos desnecessários. Substituir a notificação à autoridade. Partilhar publicamente todos os detalhes internos.

Uma violação da "disponibilidade" dos dados ocorre quando: Dados são destruídos ou tornam-se inacessíveis quando necessário. Dados são visualizados por alguém não autorizado. Dados são alterados ou corrompidos. Dados são transferidos para outro país.

Na anatomia de uma violação, uma "vulnerabilidade" é: Uma fraqueza que pode ser explorada por uma ameaça. A entidade que explora uma falha. A causa potencial de um incidente indesejado. O resultado de um ataque bem-sucedido.

A notificação ao titular dos dados sobre uma violação deve ser feita: Em linguagem clara e simples. Em linguagem técnica e complexa. Apenas por correio registado. Apenas através de um anúncio público em jornal.

O ciclo de gestão de incidentes inclui: Reconhecer, Responder, Rastrear. Ignorar, Esconder, Negar. Vender, Comprar, Investir. Programar, Testar, Implementar.

A fase de "Resposta" no modelo CREST inclui: Identificar incidentes e tomar a ação apropriada. Realizar uma avaliação de criticidade. Realizar uma análise de tendências. Atualizar informações e controles.

Um ataque de ransomware que criptografa dados pessoais, tornando-os inacessíveis, é principalmente uma violação da: Disponibilidade. Confidencialidade. Integridade. Legalidade.

A "gravidade" de uma violação de dados é determinada por: As consequências prováveis para os titulares de dados e para a organização. Apenas o número de titulares de dados afetados. A hora do dia em que ocorreu a violação. O departamento onde a violação ocorreu.

A comunicação da violação ao titular dos dados deve incluir: O nome e os dados de contacto do DPO ou outro ponto de contacto. A opinião jurídica interna completa sobre o assunto. A identidade dos possíveis hackers. O valor exato da perda financeira da organização.