K

kompar.ti

Programa de Treinamento GERADIREITO Missão DPO – Avaliação das Aulas

Com base no treinamento oferecido, elaboramos um teste gamificado como uma forma inovadora e útil de aumentar a motivação, o engajamento e a retenção de conhecimento no aprendizado de privacidade e segurança da informação.

Um jogo onde o jogador busca resolver questões de cybersegurança

Ele foi desenhado no formato “Missão DPO”, onde cada acerto rende pontos de experiência (XP), culminando em um ranking de maturidade ao final.

🎮 Missão DPO: O Resgate da Privacidade

Instruções do Jogo: Você acaba de ser contratado para integrar o Comitê de Privacidade da TechNova, uma empresa que lida com milhares de dados diariamente. Sua missão é tomar as decisões corretas para salvar a empresa de multas milionárias e proteger os direitos dos usuários.

  • Cada resposta correta vale 20 XP (Pontos de Experiência).

  • Anote seus pontos e confira seu nível de “Mestre da Privacidade” no final!

FASE 1: O Mapeamento (Conceitos Básicos)

Situação 1: Logo no seu primeiro dia, você analisa o formulário de cadastro de um novo aplicativo de saúde da empresa. O formulário pede: Nome completo, e-mail, tipo sanguíneo e histórico de doenças. Pergunta: De acordo com a LGPD, como o “tipo sanguíneo” e o “histórico de doenças” são classificados e qual o cuidado exigido?

  • A) São dados pessoais comuns, exigindo apenas o consentimento tácito.

  • XB) São dados pessoais sensíveis, e seu tratamento exige maior nível de proteção e bases legais específicas (como consentimento específico e destacado ou tutela da saúde).

  • C) São dados anonimizados, logo, a LGPD não se aplica a eles.

Situação 2: A TechNova decide contratar a CloudSegura, uma empresa terceirizada de computação em nuvem, apenas para armazenar esses dados de saúde, seguindo estritamente as instruções da TechNova. Pergunta: Qual é o papel da CloudSegura de acordo com a LGPD?

  • A) Controladora, pois ela tem a posse física dos servidores.

  • B) Encarregada (DPO), pois ela garante a segurança da informação.

  • C) Operadora, pois ela realiza o tratamento de dados em nome e segundo as instruções do controlador (TechNova).

FASE 2: As Regras do Jogo (Bases Legais)

Situação 3: A equipe de marketing quer usar os dados de compras antigas dos clientes adultos para enviar promoções personalizadas sem ter pedido consentimento prévio, argumentando que isso beneficia o negócio e atende à expectativa do cliente. Pergunta: Qual base legal a equipe de marketing está tentando invocar e qual documento é essencial elaborar para validá-la?

  • A) Cumprimento de Obrigação Legal / Precisa de um Termo de Consentimento.

  • B) Legítimo Interesse / Precisa de um Teste de Balanceamento (LIA – Legitimate Interest Assessment) para garantir que os direitos dos titulares não sejam violados.

  • C) Proteção ao Crédito / Precisa de um Relatório de Impacto (RIPD).

Situação 4: O setor de desenvolvimento quer criar um jogo voltado para crianças de 10 a 12 anos. O gerente afirma: “Só podemos tratar dados de crianças se tivermos o consentimento dos pais, é a única opção da lei!” Pergunta: A afirmação do gerente está correta segundo a Autoridade Nacional de Proteção de Dados (ANPD)?

  • A) Sim. O consentimento dos pais é a única hipótese legal possível para menores de 12 anos.

  • B) Não. O tratamento de dados de crianças pode ser realizado com base em outras hipóteses (como art. 7º e 11 da LGPD), desde que observado e prevalecente o seu “melhor interesse”.

  • C) Sim, a menos que os dados sejam anonimizados, momento em que o consentimento é dispensado.

FASE 3: O Ataque Cibernético (Resposta a Incidentes)

Situação 5: Sexta-feira, 18h. O sistema da empresa sofre um ataque de ransomware (sequestro de dados). O banco de dados de clientes vaza, expondo senhas e informações financeiras. Há um risco relevante de fraude contra os clientes. Pergunta: Como o DPO deve agir imediatamente segundo a LGPD e as diretrizes da ANPD?

  • A) Abafar o caso para evitar danos à reputação e tentar pagar o resgate em criptomoedas.

  • B) Comunicar a ANPD e os titulares afetados de forma clara e ágil (no prazo de 2 dias úteis contados do conhecimento do incidente), detalhando os riscos e as medidas de mitigação adotadas.

  • C) Comunicar apenas a equipe de TI para restaurar o backup e ignorar os titulares.

Detalhes

por

Camila L. Oliveira
em

Compartilhe nas redes:

+ da Kompa: