Questionários de Avaliação
Código: TREIN-QUEST-001 Versão: 1.0 Responsável: [PREENCHER_NOME_DPO]
1. Objetivo
Avaliar o conhecimento adquirido pelos colaboradores nos módulos de treinamento sobre LGPD e proteção de dados pessoais, garantindo que os conceitos fundamentais foram compreendidos e podem ser aplicados no dia a dia.
2. Questionário do Módulo Geral
Instruções
- Total de questões: 20
- Tempo máximo: 30 minutos
- Nota mínima para aprovação: 70% (14 acertos)
- Permitida apenas uma tentativa
- Em caso de reprovação, aguardar 48h para nova tentativa
Questões
1. O que é a LGPD?
a) Uma lei que proíbe qualquer coleta de dados pessoais no Brasil
b) Uma lei que regulamenta o tratamento de dados pessoais por pessoas físicas e jurídicas
c) Uma lei que se aplica apenas a empresas de tecnologia
d) Uma lei que permite o uso irrestrito de dados pessoais
2. Qual das alternativas representa um dado pessoal?
a) O faturamento anual de uma empresa
b) O CNPJ de uma organização
c) O endereço de e-mail de um cliente
d) A razão social de uma instituição
3. O que caracteriza um dado pessoal sensível?
a) Qualquer dado que a empresa considera importante
b) Dados sobre origem racial, saúde, convicção religiosa, dado biométrico, entre outros específicos
c) Apenas dados financeiros como salário e conta bancária
d) Dados que estão criptografados
4. No contexto da nossa empresa como operadora, quem é o controlador dos dados?
a) Nossa empresa, que desenvolveu o sistema
b) O colaborador que acessa os dados
c) As instituições de ensino (escolas) que contratam nosso serviço
d) A ANPD (Autoridade Nacional de Proteção de Dados)
5. Qual princípio da LGPD determina que devemos coletar apenas os dados necessários?
a) Transparência
b) Finalidade
c) Necessidade
d) Prevenção
6. Para que o consentimento seja válido segundo a LGPD, ele deve ser:
a) Implícito e presumido
b) Livre, informado, inequívoco e específico
c) Apenas escrito em contrato
d) Obtido uma única vez, valendo para sempre
7. Qual o prazo máximo para responder uma solicitação completa de acesso a dados?
a) 24 horas
b) 5 dias úteis
c) 15 dias
d) 30 dias
8. Ao tratar dados de crianças (menores de 12 anos), o que é obrigatório?
a) Não é permitido tratar dados de crianças em nenhuma hipótese
b) Consentimento específico de um dos pais ou responsável legal
c) Apenas comunicar à ANPD
d) Armazenar em servidor separado
9. O que você deve fazer ao identificar um possível incidente de segurança?
a) Tentar resolver sozinho antes de comunicar
b) Reportar imediatamente ao canal de incidentes
c) Aguardar para ver se o problema se resolve
d) Comunicar apenas se tiver certeza absoluta
10. Qual das práticas abaixo NÃO é recomendada para segurança da informação?
a) Usar senhas fortes com pelo menos 12 caracteres
b) Compartilhar senha com colega de confiança
c) Ativar autenticação em dois fatores
d) Bloquear a tela ao se afastar do computador
11. As sanções administrativas da LGPD incluem:
a) Apenas advertências sem consequências financeiras
b) Multa de até 2% do faturamento, limitada a R$ 50 milhões por infração
c) Exclusivamente prisão dos responsáveis
d) Apenas obrigação de pedir desculpas públicas
12. Qual é a função do DPO (Encarregado de Proteção de Dados)?
a) Desenvolver o sistema de gestão escolar
b) Ser o ponto de contato entre empresa, titulares e ANPD, além de orientar sobre privacidade
c) Apenas aplicar as multas internas
d) Gerenciar a infraestrutura de TI
13. Se um responsável de aluno perguntar "que dados vocês têm do meu filho?", o que você deve fazer?
a) Responder imediatamente com todos os dados que encontrar
b) Ignorar a pergunta pois não é sua responsabilidade
c) Reconhecer como solicitação de direitos e encaminhar para o canal adequado
d) Pedir que ele entre em contato com a escola diretamente
14. O que significa o princípio da finalidade?
a) Que todo tratamento deve ter um propósito legítimo, específico e informado ao titular
b) Que os dados devem ser excluídos ao final de cada dia
c) Que apenas a finalidade lucrativa justifica o tratamento
d) Que o titular decide a finalidade do tratamento
15. Qual destas NÃO é uma base legal para tratamento de dados segundo a LGPD?
a) Execução de contrato
b) Cumprimento de obrigação legal
c) Interesse comercial da empresa
d) Consentimento do titular
16. No contexto educacional, qual base legal geralmente justifica o tratamento de dados para registro acadêmico?
a) Legítimo interesse
b) Execução de contrato (de matrícula)
c) Consentimento
d) Proteção ao crédito
17. O que deve acontecer quando um colaborador é desligado da empresa?
a) Os dados do ex-colaborador são automaticamente excluídos
b) Os acessos a sistemas devem ser revogados imediatamente
c) O ex-colaborador mantém acesso por 30 dias
d) Nenhuma ação é necessária
18. Cookies de marketing em sites:
a) Nunca precisam de consentimento
b) Devem ser carregados antes de qualquer interação do usuário
c) Necessitam de consentimento do usuário antes de serem ativados
d) São proibidos pela LGPD
19. Onde você pode encontrar as políticas de privacidade da empresa?
a) Apenas com o DPO, sob sigilo
b) No repositório interno de políticas/intranet
c) Não existem políticas documentadas
d) São confidenciais e não podem ser acessadas
20. O que acontece se você violar as políticas de privacidade da empresa?
a) Nada, pois são apenas orientações
b) Pode resultar em consequências que vão de advertência a demissão, conforme gravidade
c) Apenas uma conversa informal com o gestor
d) A responsabilidade é sempre da empresa, nunca do colaborador
Gabarito - Módulo Geral
| Questão | Resposta | Justificativa |
|---|---|---|
| 1 | B | A LGPD regulamenta, não proíbe o tratamento de dados |
| 2 | C | E-mail é informação relacionada a pessoa identificável |
| 3 | B | Art. 5º, II da LGPD define dados sensíveis |
| 4 | C | As escolas contratam o serviço e definem finalidades |
| 5 | C | Art. 6º, III - limitação ao mínimo necessário |
| 6 | B | Art. 5º, XII e Art. 8º definem requisitos do consentimento |
| 7 | C | Art. 18, §4º estabelece prazo de 15 dias |
| 8 | B | Art. 14, §1º exige consentimento específico |
| 9 | B | Procedimento interno de resposta a incidentes |
| 10 | B | Compartilhamento de senhas é vedado |
| 11 | B | Art. 52 estabelece as sanções administrativas |
| 12 | B | Art. 41 define atribuições do encarregado |
| 13 | C | Solicitação de direito de acesso (Art. 18, II) |
| 14 | A | Art. 6º, I define o princípio da finalidade |
| 15 | C | Interesse comercial não é base legal prevista |
| 16 | B | Contrato de prestação de serviços educacionais |
| 17 | B | Política de segurança - revogação imediata |
| 18 | C | Cookies não essenciais requerem consentimento |
| 19 | B | Políticas devem estar acessíveis |
| 20 | B | Regime disciplinar interno |
3. Questionários por Módulo Específico
3.1 Desenvolvimento - Privacy by Design
Questões (10 questões, nota mínima 70%)
1. Qual o primeiro princípio de Privacy by Design?
a) Privacidade como padrão
b) Proativo, não reativo - prevenir em vez de remediar
c) Segurança ponta a ponta
d) Funcionalidade total
2. O que significa "Privacy by Default"?
a) Usuário deve ativar privacidade manualmente
b) Configurações mais restritivas de privacidade são o padrão
c) A privacidade é opcional
d) O sistema não coleta nenhum dado
3. Ao implementar logs de sistema, qual a prática correta?
a) Registrar todos os dados possíveis para debugging
b) Mascarar dados pessoais (ex: CPF: ..**X-XX)
c) Não criar logs para evitar riscos
d) Armazenar logs em texto plano sem proteção
4. Para validação de senha, qual abordagem é mais segura?
a) Armazenar senha em texto plano para facilitar recuperação
b) Usar hash MD5 por ser rápido
c) Usar algoritmos como bcrypt ou argon2 com salt
d) Criptografar com chave simétrica compartilhada
5. Ao desenvolver um endpoint de exclusão de dados, o que deve ser considerado?
a) Apenas marcar como inativo no banco
b) Garantir hard delete com limpeza de backups após período de retenção
c) Nunca excluir dados por questões de auditoria
d) Excluir apenas da interface, mantendo no banco
Gabarito: 1-B, 2-B, 3-B, 4-C, 5-B
3.2 Suporte - Direitos dos Titulares
Questões (10 questões, nota mínima 70%)
1. Um responsável envia e-mail dizendo "quero uma cópia de todos os dados do meu filho no sistema". Que direito está sendo exercido?
a) Direito de retificação
b) Direito de acesso
c) Direito de oposição
d) Direito de portabilidade
2. Qual o primeiro passo ao receber uma solicitação de direitos?
a) Fornecer os dados imediatamente
b) Registrar a solicitação e validar identidade do solicitante
c) Encaminhar para o jurídico
d) Ignorar se parecer suspeito
3. Um pai liga pedindo dados do filho. O que fazer?
a) Fornecer os dados pelo telefone para agilizar
b) Orientar a fazer solicitação pelo canal oficial e não fornecer dados por telefone
c) Pedir apenas o nome para confirmar
d) Transferir para qualquer colega disponível
4. Qual o prazo para resposta completa a uma solicitação de direitos?
a) 24 horas
b) 5 dias
c) 15 dias
d) 30 dias
5. O que fazer se não for possível atender uma solicitação de exclusão por haver obrigação legal de manter os dados?
a) Excluir mesmo assim
b) Ignorar a solicitação
c) Informar o titular sobre o impedimento legal e manter registro
d) Criar dados falsos para substituir
Gabarito: 1-B, 2-B, 3-B, 4-C, 5-C
3.3 Comercial - Contratos e DPAs
Questões (10 questões, nota mínima 70%)
1. O que é um DPA (Data Processing Agreement)?
a) Contrato de venda do software
b) Acordo que formaliza a relação entre controlador e operador sobre tratamento de dados
c) Declaração de Proteção Automática
d) Documento de Privacidade Avançada
2. Antes de fechar um contrato, o que deve ser verificado quanto à privacidade?
a) Apenas o valor comercial
b) Se DPA está incluído e se os termos estão alinhados com nossas políticas
c) Nada, isso é responsabilidade apenas do jurídico
d) Se o cliente tem CNPJ ativo
3. Quando um cliente pergunta "vocês compartilham dados com terceiros?", a resposta correta é:
a) "Não compartilhamos com ninguém"
b) "Utilizamos suboperadores listados no DPA apenas para finalidades específicas, não comercializamos dados"
c) "Isso é confidencial"
d) "Compartilhamos com quem for necessário"
4. O que deve acontecer com os dados ao término do contrato?
a) Mantemos indefinidamente como backup
b) Conforme DPA, devolvemos ou eliminamos conforme escolha do cliente
c) Transferimos para outro cliente
d) Vendemos para recuperar custos
5. Qual a importância da cláusula de suboperadores no DPA?
a) Nenhuma, é apenas formalidade
b) Permite ao controlador saber quem mais terá acesso aos dados
c) Define o preço do serviço
d) Isenta a empresa de qualquer responsabilidade
Gabarito: 1-B, 2-B, 3-B, 4-B, 5-B
3.4 RH - Dados de Colaboradores
Questões (10 questões, nota mínima 70%)
1. Atestados médicos com CID são considerados:
a) Dados pessoais comuns
b) Dados pessoais sensíveis
c) Dados públicos
d) Dados não pessoais
2. Por quanto tempo devem ser mantidos documentos de FGTS?
a) 5 anos
b) 10 anos
c) 30 anos
d) Indefinidamente
3. Qual a base legal para envio de dados ao eSocial?
a) Consentimento
b) Obrigação legal
c) Legítimo interesse
d) Execução de contrato
4. Currículos de candidatos não contratados devem ser mantidos por quanto tempo com base em consentimento?
a) Indefinidamente
b) Até 1 ano ou revogação do consentimento
c) 5 anos
d) Apenas durante o processo seletivo
5. No desligamento de um colaborador, o que NÃO deve ser feito?
a) Revogar todos os acessos imediatamente
b) Manter dados necessários por obrigação legal
c) Permitir que o colaborador leve cópias de dados da empresa
d) Recolher equipamentos e crachás
Gabarito: 1-B, 2-C, 3-B, 4-B, 5-C
3.5 Marketing - Consentimento e Cookies
Questões (10 questões, nota mínima 70%)
1. Para envio de e-mail marketing promocional, qual base legal é geralmente utilizada?
a) Execução de contrato
b) Consentimento
c) Legítimo interesse
d) Obrigação legal
2. Um checkbox de consentimento pode vir pré-marcado?
a) Sim, para facilitar a experiência do usuário
b) Não, o consentimento deve ser inequívoco através de ação afirmativa
c) Sim, se o texto explicativo estiver claro
d) Depende do tipo de dado
3. Cookies de analytics (estatísticas):
a) Nunca precisam de consentimento
b) São sempre proibidos
c) Necessitam de consentimento do usuário
d) São considerados essenciais
4. O que deve estar presente em todo e-mail marketing?
a) Apenas o conteúdo promocional
b) Link de descadastro (opt-out) visível
c) CPF do destinatário
d) Número do contrato
5. Comprar listas de e-mail de terceiros é:
a) Prática recomendada para crescimento
b) Prática que viola princípios da LGPD por falta de consentimento
c) Permitido se pagar valor justo
d) Obrigatório para empresas de marketing
Gabarito: 1-B, 2-B, 3-C, 4-B, 5-B
3.6 Gestores - Gestão de Privacidade
Questões (10 questões, nota mínima 70%)
1. Qual o papel principal do gestor na cultura de privacidade?
a) Apenas cobrar resultados da equipe
b) Dar exemplo, supervisionar práticas e facilitar conformidade
c) Substituir o DPO quando necessário
d) Aplicar multas nos colaboradores
2. Com que frequência um gestor deve verificar se os acessos da equipe estão adequados?
a) Nunca, isso é com TI
b) Trimestralmente ou conforme política
c) Apenas na admissão
d) Anualmente no final do ano
3. Ao identificar um colaborador acessando dados sem necessidade, o que fazer?
a) Ignorar se o colaborador for produtivo
b) Orientar, registrar e reportar ao DPO se necessário
c) Demitir imediatamente
d) Aumentar os acessos para justificar
4. Champions de Privacidade são:
a) Funcionários terceirizados de segurança
b) Pontos focais de privacidade na área, multiplicadores de conhecimento
c) Apenas o DPO e sua equipe
d) Consultores externos
5. Quando um gestor deve reportar ao DPO?
a) Nunca, para não parecer incompetente
b) Ao identificar riscos, violações ou novos tratamentos de dados
c) Apenas quando receber auditoria externa
d) Somente em caso de multa da ANPD
Gabarito: 1-B, 2-B, 3-B, 4-B, 5-B
4. Estudos de Caso para Avaliação
Caso 1: Solicitação de Exclusão
Cenário: Um responsável entra em contato solicitando a exclusão completa de todos os dados de seu filho que está deixando a escola cliente. A escola já confirmou o desligamento do aluno.
Perguntas:
- Podemos excluir todos os dados imediatamente?
- Que dados podem ser excluídos e quais devem ser mantidos?
- Qual o prazo para atender essa solicitação?
- Como devemos comunicar ao responsável?
Resposta Esperada:
- Não imediatamente. Precisamos avaliar obrigações legais de retenção.
- Dados operacionais podem ser excluídos. Dados acadêmicos devem seguir prazos legais educacionais (histórico escolar: permanente). Dados fiscais: 5 anos.
- Até 15 dias para resposta.
- Informar o que foi excluído, o que será mantido e por qual motivo legal, com previsão de exclusão futura.
Caso 2: Incidente de Segurança
Cenário: Um colaborador percebeu que enviou por e-mail uma planilha com dados de 50 alunos (nome, CPF, notas) para o destinatário errado (outra escola cliente).
Perguntas:
- Isso configura um incidente de segurança?
- Quais os primeiros passos a tomar?
- Quem deve ser notificado?
- É necessário comunicar aos titulares?
Resposta Esperada:
- Sim, vazamento de dados pessoais para destinatário não autorizado.
- Reportar imediatamente, solicitar ao destinatário que exclua, documentar.
- DPO, gestor, controlador (escola dos alunos afetados).
- Depende da avaliação de risco. Se houver risco relevante aos titulares, devem ser notificados. A escola (controlador) decide junto com DPO.
Caso 3: Novo Desenvolvimento
Cenário: A equipe de produto quer implementar reconhecimento facial para registro de presença dos alunos, substituindo a chamada tradicional.
Perguntas:
- Que tipo de dado está envolvido?
- Que avaliações devem ser realizadas antes?
- Qual base legal poderia justificar?
- Que cuidados técnicos são necessários?
Resposta Esperada:
- Dado biométrico (sensível).
- RIPD (Relatório de Impacto) obrigatório para dados sensíveis em larga escala. Avaliação de necessidade e proporcionalidade.
- Consentimento específico dos responsáveis (dado sensível + menor).
- Criptografia, armazenamento segregado, acesso restrito, possibilidade de exclusão, alternativa para quem não consentir.
Caso 4: Auditoria do Cliente
Cenário: Uma escola cliente solicita auditoria de segurança em nossos sistemas, conforme previsto no DPA.
Perguntas:
- Somos obrigados a permitir?
- Que documentos devemos disponibilizar?
- Há limites para essa auditoria?
- Como proceder?
Resposta Esperada:
- Sim, se previsto no DPA.
- Políticas de segurança, relatórios de controles, evidências de conformidade, certificações.
- Sim, não podem acessar dados de outros clientes, código fonte proprietário (salvo acordo específico).
- Agendar com antecedência, preparar documentação, designar acompanhante, registrar escopo e resultados.
5. Critérios de Aprovação
5.1 Notas Mínimas
| Módulo | Questões | Nota Mínima | Acertos Mínimos |
|---|---|---|---|
| Geral | 20 | 70% | 14 |
| Desenvolvimento | 10 | 70% | 7 |
| Suporte | 10 | 70% | 7 |
| Comercial | 10 | 70% | 7 |
| RH | 10 | 70% | 7 |
| Marketing | 10 | 70% | 7 |
| Gestores | 10 | 70% | 7 |
| Champions | 20 + Caso | 80% | 16 + Caso satisfatório |
5.2 Reprovação
Em caso de reprovação:
- Aguardar período mínimo de 48 horas
- Revisar material de treinamento
- Realizar nova tentativa
- Após 3 reprovações, agendar sessão com DPO/RH
5.3 Registro
Todos os resultados são registrados:
- Data/hora da avaliação
- Nota obtida
- Questões erradas (para análise de gaps)
- Histórico de tentativas
6. Atualização dos Questionários
Os questionários devem ser revisados:
- Anualmente
- Quando houver alteração significativa na legislação
- Quando houver mudança relevante nos processos internos
- Quando análise de resultados indicar necessidade
Histórico
| Versão | Data | Alteração |
|---|---|---|
| 1.0 | [PREENCHER] | Versão inicial |