Data Protection Officer - DPO


Questões do simulado para certificação Data Protection Officer (DPO)
1 Um lojista deseja registrar quantos visitantes entram em sua loja todos os dias. Um sistema detecta o endereço MAC do smartphone de cada visitante. É impossível o lojista identificar o proprietário do telefone a partir deste sinal, mas os provedores de serviços de telefonia podem relacionar o endereço MAC ao proprietário do telefone.

De acordo com o GDPR, é permitido que o lojista utilize este método?

A) Sim, porque o lojista não pode identificar o proprietário do telefone.
B) Sim, porque o visitante consentiu automaticamente quando se conectou ao Wi-Fi.
C) Não, porque o endereço MAC do telefone deve ser considerado como um dado pessoal.
D) Não, porque os provedores de serviços de telefonia são os proprietários dos endereços MAC.

2 Os dados pessoais, de acordo com a definição no GDPR, podem ser divididos em vários tipos. Um desses tipos é descrito do seguinte modo:

Dados que revelem direta ou indiretamente as origens raciais ou étnicas de uma pessoa, suas visões políticas, filosóficas ou religiosas, afiliação sindical e dados relacionados à saúde, vida sexual ou orientação sexual.

Que categoria de dados pessoais é esta?

A) Dados pessoais diretos.
B) Dados pessoais indiretos.
C) Dados pseudonimizados.
D) Dados pessoais de categoria especial.

3 Uma pessoa física ou jurídica, autoridade pública, agência ou outro organismo que, isoladamente ou em conjunto com outras partes, determina os objetivos e os meios de processamento de dados pessoais.

Que papel na proteção de dados é definido aqui?

A) Controlador.
B) Processador.
C) Autoridade supervisora.
D) Terceiro.

4 Ocorreu uma violação de segurança em um sistema de informação que também contém dados pessoais.

De acordo com o GDPR, qual é a primeira coisa que o controlador deve fazer?

A) Verificar se a violação pode ter provocado a perda ou o processamento ilegal de dados pessoais.
B) Avaliar o risco de efeitos adversos para os titulares dos dados usando uma Avaliação de Impacto sobre a Proteção de Dados (DPIA).
C) Determinar se dados pessoais de caráter sensível foram ou possam ter sido processados ilegalmente.
D) Relatar a violação imediatamente a todos os titulares dos dados e à autoridade supervisora relevante.

5 Uma violação da segurança que provoque a destruição, perda, alteração, divulgação não autorizada ou acesso acidental ou ilegal de dados pessoais transmitidos, armazenados ou processados de outro modo.

Qual é o termo exato associado a esta definição no GDPR?

A) Violação da confidencialidade.
B) Violação de dados pessoais.
C) Violação de segurança.
D) Incidente de segurança.

6 Que direito do titular dos dados é definido explicitamente pelo GDPR?

A) Uma cópia dos dados pessoais deve ser fornecida no formato solicitado pelo titular dos dados.
B) O acesso aos dados pessoais deve ser fornecido sem custo para o titular dos dados.
C) Os dados pessoais sempre devem ser alterados mediante solicitação do titular dos dados.
D) Os dados pessoais devem ser apagados sempre que isso for solicitado pelo titular dos dados.

7 Quando dados pessoais são processados, quem é o responsável final por demonstrar conformidade com o GDPR?

A) O controlador.
B) O Data Protection Officer (DPO).
C) O processador.
D) A autoridade supervisora.

8 De acordo com o princípio de limitação de finalidade, os dados não devem ser processados além do objetivo legítimo definido. Contudo, o processamento adicional é permitido em alguns casos específicos, desde que sejam adotadas salvaguardas apropriadas aos direitos e liberdades dos titulares dos dados.

Para qual finalidade o processamento adicional não é permitido?

A) Para fins de arquivamento por interesse público.
B) Para fins comerciais e de marketing direto.
C) Para fins estatísticos em geral.
D) Para fins de pesquisa histórica ou científica.

9 De acordo com o GDPR, em que situação os titulares dos dados devem ser sempre notificados de uma violação de dados pessoais?

A) Quando os dados pessoais forem processados em uma unidade do processador que não esteja localizada dentro das fronteiras da Área Econômica Euopeia (AEE).
B) Quando os dados pessoais forem processados por uma parte que concordou com o contrato de processamento, mas ainda não o assinou.
C) Quando o sistema no qual os dados pessoais são processados for atacado, causando uma avaria em seus dispositivos de armazenamento.
D) Quando houver uma probabilidade considerável de que a violação provoque um alto risco à privacidade dos titulares dos dados.

10 Alguns processamentos de dados estão fora do escopo material do GDPR.

Que tipo de processamento não está sujeito ao GDPR?

A) Coleta de informações de nome e endereço para um clube de ginástica.
B) Criação de um backup de dados biométricos para fins de segurança dos dados.
C) Edição de fotografias pessoais antes de imprimi-las em casa.

11 O GDPR não define privacidade como um termo, mas emprega o conceito de modo implícito em todo o seu texto.

Qual seria uma definição correta de privacidade, conforme implicitamente utilizado por todo o GDPR?

A) O direito fundamental à proteção de dados pessoais, independentemente do modo como foram obtidos.
B) O direito de não ser incomodado por pessoas não convidadas, não ser seguido, vigiado ou monitorado.
C) O direito ao respeito pela vida privada e familiar de uma pessoa, seu lar e sua correspondência pessoal.
D) O direito à liberdade de opinião e expressão e o direito a buscar, receber e divulgar informações.

12 Qual é a relação entre privacidade e proteção de dados?

A) Proteção de dados e privacidade são sinônimos e têm o mesmo significado.
B) Proteção de dados é a parte da privacidade que protege a integridade física de um indivíduo.
C) Proteção de dados refere-se às medidas necessárias para proteger a privacidade de um indivíduo.

13 Qual é a situação jurídica do GDPR?

A) O GDPR é uma lei funcional em todos os estados membros da Área Econômica Europeia (AEE).
B) O GDPR é uma recomendação da Comissão Europeia para que as autoridades legais dos países da AEE melhorem suas leis sobre proteção de dados pessoais.
C) O GDPR estabelece condições e requisitos mínimos. Os estados membros devem aprovar leis nacionais que atendam a estes requisitos mínimos.

14 No GDPR, alguns tipos de dados pessoais são considerados como dados pessoais de categoria especial.

Quais dados pessoais são considerados como dados pessoais de categoria especial?

A) Uma lista de pagamentos efetuados usando um cartão de crédito.
B) Uma lista de endereços dos membros de um partido político.
C) Um registro genealógico dos ancestrais de uma pessoa.

15 Para planejar o tamanho da área de estacionamento necessária, um governo local monitora e salva o número da placa de cada carro que entra e sai do centro da cidade. Foi obtida uma permissão para coletar dados sobre o número de carros presentes no centro da cidade.

Pela comparação dos horários de entrada e saída para as placas, é calculado o número de carros presentes a cada momento de cada dia. A cada mês é gerado um relatório detalhando o número médio de carros presentes no centro da cidade em momentos específicos para cada dia da semana. Em todas as entradas no centro da cidade, um cartaz explica com clareza quais dados são coletados por quem, a finalidade do processamento e o fato de que os números das placas serão armazenados em segurança por até dois anos, porque as medidas serão repetidas no ano seguinte.

Que princípio básico do processamento legítimo de dados pessoais está sendo violado neste caso?

A) Os dados pessoais devem ser coletados para finalidades especificadas, explícitas e legítimas e não devem ser processados adicionalmente.
B) Os dados pessoais devem ser mantidos de modo que permita a identificação dos titulares dos dados por um período não maior que o necessário.
C) Os dados pessoais devem ser processados de modo que garanta a segurança apropriada dos dados pessoais.
D) Os dados pessoais devem ser processados de modo transparente em relação ao titular dos dados.

16 Os dados pessoais devem ser adequados, relevantes e limitados ao que for necessário em relação às finalidades para as quais são processados.

Que princípio do processamento de dados é descrito aqui?

A) Exatidão.
B) Minimização de dados.
C) Equidade e transparência.
D) Limitação de finalidade.

17 Um indivíduo está se mudando da cidade A para a cidade B, em um estado membro da Área Econômica Europeia (AEE). Na cidade A, ele era um paciente do hospital local A. Na cidade B, passa a ser um paciente do hospital B. O paciente optou pela não inclusão no sistema nacional de prontuários eletrônicos de pacientes.

O paciente solicita que o hospital A encaminhe seu prontuário médico diretamente ao hospital B.

De acordo com o GDPR, o que é permitido?

A) O hospital em A pode enviar os dados diretamente ao hospital B, como solicitado pelo paciente.
B) O hospital em A pode enviar o prontuário ao hospital B, antes que seja solicitado pelo paciente.
C) O hospital em A pode enviar o prontuário médico ao titular dos dados, mas não a outro hospital.
D) O hospital em A não pode enviar o prontuário porque não há uma base legítima para o processamento.

18 Uma empresa tem planos para processar dados pessoais. O Data Protection Officer (DPO) recentemente indicado executa uma Avaliação de Impacto sobre a Proteção de Dados (DPIA). O DPIA constata que todos os computadores têm uma configuração que faz os monitores exibirem um protetor de tela após cinco segundos de inatividade. Contudo, os computadores não são bloqueados automaticamente. Quando os funcionários deixam sua mesa, geralmente também não bloqueiam seus computadores.

Isso é um exemplo de quê?

A) Acesso a dados.
B) Violação de dados pessoais.
C) Incidente de segurança.
D) Vulnerabilidade da segurança.

19 O GDPR refere-se aos princípios de proporcionalidade e subsidiariedade.

Qual é o significado de subsidiariedade neste contexto?

A) Dados pessoais só podem ser processados de acordo com a especificação da finalidade.
B) Dados pessoais não podem ser reutilizados sem um consentimento explícito e informado.
C) Dados pessoais só podem ser processados quando não houver outros meios para obter a finalidade.
D) Dados pessoais devem ser adequados, relevantes e não excessivos em relação às finalidades.

20 "O controlador deve implementar medidas técnicas e organizacionais apropriadas para garantir que (...) sejam processados somente os dados pessoais que sejam necessários para cada finalidade específica do processamento."

Que termo do GDPR é definido aqui?

A) Conformidade.
B) Proteção de dados desde a concepção (by design) e por padrão (by default).
C) Proteção de dados incorporada.

21 Durante a realização de um backup, ocorreu uma falha no disco rígido do servidor de dados. Tanto os dados quanto o backup são perdidos. O disco continha dados pessoais, mas nenhum dado pessoal de categoria especial.

O processador afirma que isto constitui uma violação de dados pessoais.

A afirmação do processador é verdadeira?

A) Sim, porque os dados pessoais no disco foram processados de modo ilegal.
B) Sim, porque não havia dados pessoais de categoria especial armazenados no disco.
C) Não, porque nenhum dado pessoal no disco foi processado, apenas destruído.
D) Não, porque isto é apenas um incidente de segurança, e não uma violação de dados.

22 As organizações têm a obrigação de manter diversos registros para demonstrar conformidade com o GDPR.

Qual registro não é obrigatório de acordo com o GDPR?

A) Um registro de todo o processamento pretendido, juntamente com a(s) finalidade(s) do processamento e as justificativas legais.
B) Um registro de violações de dados com todas as características relevantes, incluindo notificações.
C) Um registro das notificações enviadas à autoridade supervisora, relativas ao processamento de dados pessoais.
D) Um registro de processadores, incluindo os dados pessoais fornecidos e o período pelo qual estes dados podem ser retidos.

23 Houve uma violação de dados pessoais e o controlador está redigindo uma notificação à autoridade supervisora. As seguintes informações já constam da notificação:

- A natureza da violação de dados pessoais e suas possíveis consequências.
- Informações sobre as partes que podem fornecer mais informações sobre a violação dos dados.

Que outras informações o controlador deve fornecer?

A) A informação de que as autoridades locais e nacionais foram notificadas da violação dos dados.
B) O nome e os detalhes de contato dos titulares dos dados que possam ter tido seus dados violados.
C) As medidas sugeridas para mitigar as consequências adversas da violação de dados.
D) As informações necessárias para acessar os dados pessoais que foram violados.

24 De acordo com o Artigo 33 do GDPR, o controlador deve notificar uma violação de dados pessoais à autoridade supervisora sem demora injustificada e, quando possível, no máximo 72 horas após tomar ciência do fato.

Qual é a sanção máxima para o descumprimento desta obrigação de notificar?

A) € 10.000.000 ou 2% do volume global anual de negócios, o que for maior.
B) € 20.000.000 ou 4% do volume global anual de negócios, o que for maior.
C) Até € 500.000 com um mínimo de € 120.000.
D) Até € 820.000 com um mínimo de € 350.000.

25 De acordo com o GDPR, qual é uma tarefa da autoridade supervisora?

A) Implementar medidas técnicas e organizacionais para garantir a conformidade.
B) Investigar violações de segurança de informações corporativas.
C) Monitorar e impor a aplicação do GDPR.

26 Uma empresa belga tem sua sede na França por motivos fiscais. Ela firma um contrato juridicamente vinculante com um processador nos Países Baixos para o processamento de dados pessoais de titulares dos dados de várias nacionalidades.

Ocorre uma violação de dados pessoais. A autoridade supervisora inicia uma investigação.

Por que a autoridade supervisora francesa é considerada como a autoridade supervisora principal?

A) Porque a França está localizada no meio da Europa.
B) Porque a França é o maior dos três países da Área Econômica Europeia (AEE).
C) Porque a sede da empresa está na França.

27 Em 12 de julho de 2016 a Comissão Europeia implementou uma disposição regulamentar relativa à transferência de dados pessoais entre a Área Econômica Europeia (AEE) e os Estados Unidos da América (EUA). A disposição regulamentar é baseada nas medidas para proteção de dados descritas no EU-US Privacy Shield.

Que tipo de disposição é essa?

A) Decisão de adequação.
B) Exceção.
C) Contrato juridicamente vinculante.
D) Tratado que substitui o GDPR.

28 Um controlador deseja terceirizar o processamento de dados pessoais para um processador.

O que deve ser realizado antes da terceirização?

A) O controlador deve pedir permissão à autoridade supervisora para terceirizar o processamento dos dados.
B) O controlador deve perguntar à autoridade supervisora se o contrato por escrito combinado está em conformidade com os regulamentos.
C) O controlador e o processador devem preparar uma minuta e assinar um contrato por escrito garantindo a confidencialidade dos dados.
D) O processador deve demonstrar ao controlador que todas as demandas acordadas no acordo de nível de serviço (ANS) são cumpridas.

29 Qual é o objetivo de uma auditoria de proteção de dados pela autoridade supervisora?

A) Aconselhar o controlador sobre a mitigação de riscos à privacidade para proteger o controlador de pedidos de indenização de responsabilidade civil por não conformidade.
B) Atender a obrigação no GDPR de implementar medidas técnicas e organizacionais apropriadas para proteção de dados.
C) Monitorar e impor a aplicação do GDPR, determinando se o processamento está sendo realizado em conformidade com o GDPR.

30 Para que um processamento de dados pessoais seja legal, o que sempre será exigido?

A) Um código de conduta deve ser estabelecido, descrevendo exatamente o que o processamento envolve.
B) O processamento deve relatado e autorizado pela autoridade supervisora.
C) Deve haver uma base legítima para o processamento de dados pessoais.

31 Dados pessoais podem ser transferidos para fora da Área Econômica Europeia (AEE).

De acordo com o GDPR, que transferências para fora da AEE são sempre legais?

A) Transferências baseadas nas leis do país não pertencente à AEE envolvido.
B) Transferências sujeitas às regras da Organização Mundial do Comércio (OMC).
C) Transferências governadas por regras corporativas vinculantes (BCR) aprovadas.
D) Transferências dentro de uma corporação ou organização global.

32 De acordo com o GDPR, qual seria uma descrição de regras corporativas vinculantes (BCR)?

A) Uma decisão sobre a segurança da transferência de dados pessoais para um país fora da Área Econômica Europeia (AEE).
B) Uma medida para compensar a ausência de proteção de dados em um país terceiro.
C) Um conjunto de acordos abordando transferências de dados pessoais entre países situados fora da AEE.
D) Um conjunto de regras aprovadas sobre a proteção de dados pessoais, usadas por um grupo de empresas.

33 Um contrato por escrito entre um controlador e um processador é chamado de acordo de processamento.

De acordo com o GDPR, o que não precisa ser abordado no contrato por escrito?

A) O código de ética comercial e conduta da contratada que será utilizado.
B) Os procedimentos para violações de segurança das informações e de dados pessoais.
C) As medidas técnicas e organizacionais implementadas.
D) Quais dados são cobertos pelo acordo de processamento de dados.

34 Um dos objetivos de uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é fortalecer a confiança dos clientes ou cidadãos no modo como os dados pessoais são processados e a privacidade é respeitada.

Como um DPIA pode fortalecer a confiança?

A) A organização minimiza o risco de ajustes dispendiosos dos processos ou remodelamento dos sistemas em um estágio mais tardio.
B) A organização previne a não conformidade com o GDPR e minimiza o risco de multas.
C) A organização prova que considera a privacidade com seriedade e visa à conformidade com o GDPR.

35 Um dos sete princípios da proteção de dados desde a concepção (by design) é a Funcionalidade – Soma Positiva, Diferente de Zero.

Qual é a essência deste princípio?

A) As normas de segurança aplicadas devem garantir a confidencialidade, a integridade e a disponibilidade dos dados pessoais durante todo o seu ciclo de vida.
B) Se diferentes tipos de objetivos legítimos forem contraditórios, os objetivos de privacidade devem ter prioridade em relação a outros objetivos de segurança.
C) Ao incorporar a privacidade em uma determinada tecnologia, processo ou sistema, isto deve ser realizado de tal modo que a funcionalidade completa não seja prejudicada.
C) Sempre que possível, avaliações detalhadas de impacto na privacidade e riscos devem ser realizadas e publicadas, documentando com clareza os riscos para a privacidade.

36 Uma empresa deseja utilizar os dados pessoais de seus clientes. Ela pretende começar a enviar um informativo personalizado a todas as clientes do sexo feminino.

Que direito todos os titulares dos dados terão nesta situação?

A) O direito à compensação.
B) O direito de se opor à definição de perfis.
C) O direito à retificação.

37 Qual seria uma descrição de proteção de dados desde a concepção (by design) e como padrão (by default)?

A) Uma abordagem que implementa a proteção dos dados desde o início.
B) Uma indicação de prazos se o processamento estiver relacionado ao apagamentos.
C) Os dados só podem ser coletados para finalidades explícitas e legítimas.
D) Não manter mais dados que o estritamente necessário para o processamento.

38 De acordo com o GDPR, quando uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) é obrigatória?

A) Quando um projeto incluir tecnologias ou processos que utilizem dados pessoais.
B) Quando for provável que o processamento cause um alto risco para os direitos dos titulares dos dados.
C) Quando operações de processamento semelhantes com riscos comparáveis forem repetidas.

39 O GDPR descreve o princípio de minimização de dados.

Como as organizações podem obedecer a esse princípio?

A) Aplicando o conceito de privilégio mínimo aos dados pessoais coletados, armazenados ou de outro modo processados.
B) Limitando o direito de acesso às pessoas que precisarem dos dados pessoais para as operações de processamento pretendidas.
C) Limitando os tamanhos dos arquivos, salvando todos os dados pessoais processados no menor formato possível.
D) Limitando os dados pessoais àquilo que for adequado, relevante e necessário para os objetivos do processamento.

40 Qual é a principal utilização de um cookie persistente?

A) Garantir que os dados pessoais do usuário sejam armazenados com segurança no servidor.
B) Personalizar a experiência do usuário do site durante uma próxima visita.
C) Registrar cada tecla pressionada por um usuário computador para descobrir senhas.
D) Salvar as páginas que um usuário marcar como favoritas no histórico do navegador do usuário.

Devtools - Sua Caixa de Ferramentas Online