Questão nº 50
Questão de Tecnologia da Informação · FGV DATAPREV 2024 (nº 50)
Uma agência governamental, que gerencia dados pessoais, precisa se adequar à lei no 13.709/2018, no que tange ao tratamento de dados pessoais sensíveis sem fornecimento de consentimento do titular.
Nesse caso, um sistema dessa agência, para tratar desse tipo de dados, deve estar de acordo com uma das hipóteses indispensáveis observadas nessa lei, para o qual utiliza-se tais dados para
- Ao acesso aos dados pessoais sensíveis que servem para divulgação de resultados de quaisquer estudos ou pesquisas de saúde pública.
- Bo acesso como dados pessoais para àqueles dados utilizados para definição comportamental de determinada pessoa natural identificada.
- Ca realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis. (alternativa correta)
- Da realização de filtros para separar dados pessoais sensíveis dos dados pessoais comuns, de modo que a proteção aos dados seja equânime.
- Ea utilização de dados anonimizados, considerados como dados pessoais irreversíveis para fins de propaganda e marketing protegidos.
Resposta comentada
Gabarito Alternativa C
A LGPD (Lei Geral de Proteção de Dados) exige consentimento para o tratamento de dados pessoais, especialmente os sensíveis (como saúde, religião, etc.). Contudo, existem hipóteses legais específicas que permitem o tratamento de dados sensíveis por órgãos governamentais sem esse consentimento, desde que para finalidades muito bem definidas na lei.
- (A) Incorreta: A divulgação de resultados de estudos ou pesquisas, se envolver dados pessoais sensíveis identificáveis, precisaria de uma base legal específica para essa finalidade de divulgação, que não é "divulgação de resultados" em si. A lei permite a realização de estudos (alternativa C), mas não generaliza a divulgação de dados sensíveis identificáveis sem consentimento para "quaisquer estudos", sem a devida anonimização ou outra base legal.
- (B) Incorreta: A definição de perfil comportamental de pessoa identificada, especialmente com dados sensíveis e sem consentimento, é uma prática altamente restritiva e geralmente não permitida pela LGPD, indo contra os princípios de privacidade e autodeterminação informativa.
- (C) Correta: Esta alternativa está em total conformidade com o Art. 11, § 2º, inciso II, alínea 'c' da LGPD, que estabelece como uma das hipóteses para tratamento de dados pessoais sensíveis sem consentimento a "realização de estudos por órgão de pesquisa, garantida, sempre que possível, a anonimização dos dados pessoais sensíveis".
- (D) Incorreta: A separação de dados é uma medida organizacional e de segurança, não uma hipótese legal para o tratamento de dados sensíveis sem consentimento. Além disso, a proteção para dados sensíveis não é "equânime" em relação aos dados pessoais comuns; ela é mais rigorosa.
- (E) Incorreta: Dados anonimizados (irreversíveis) não são considerados dados pessoais sob a LGPD (Art. 12), portanto, seu tratamento não requer as bases legais aplicáveis a dados pessoais. A questão se refere ao tratamento de dados pessoais sensíveis (ou seja, ainda identificáveis). Além disso, o uso para propaganda e marketing de dados sensíveis sem consentimento é vedado. A armadilha aqui é misturar o conceito de "dados anonimizados" (que não são pessoais) com a necessidade de base legal para "dados pessoais sensíveis".
Fonte: FGV DATAPREV 2024 Analista de Tecnologia da Informação - Segurança Cibernética e Proteção de Dados (Caderno Tipo 1). Reproduzida para fins de estudo.