Partilhar: WhatsApp
aulify
UC UC00613 · T. Desenv. Software, T. Inform. Gestão

Ficha 01 · CIA, RGPD

Princípios e legislação
Versão · Aluno
Tempo · 45 minutos
Cotação · 100 pontos
Aluno(a)
Turma
Data
Objectivos da ficha

Parte I · CIA

Exercício 1 · Classificar (15 pts)

Para cada situação, indica qual princípio CIA está comprometido:

a) Senha do utilizador vaza para a internet. ___

b) Atacante altera saldo bancário. ___

c) Servidor cai durante 4 horas. ___

d) Email com dados confidenciais enviado a destinatário errado. ___

e) Ransomware encripta ficheiros (dados não destruídos). ___

a) Confidencialidade. b) Integridade. c) Disponibilidade. d) Confidencialidade. e) Disponibilidade (ficheiros existem mas inacessíveis sem chave).

Exercício 2 · Trade-offs (10 pts)

Dá um exemplo concreto em que melhorar um princípio CIA prejudica outro:

Exemplos:

  1. Encriptação forte (confidencialidade) — se a chave se perde, dados ficam inacessíveis (perda de disponibilidade).

  2. Autenticação MFA (confidencialidade) — adiciona fricção; se utilizador perde acesso ao 2º factor, fica sem entrar no sistema (disponibilidade).

  3. Backups frequentes (disponibilidade) — múltiplas cópias aumentam superfície de ataque para roubo de dados (confidencialidade).

  4. Logs detalhados (integridade, auditoria) — podem registar dados pessoais sensíveis (compromisso confidencialidade).

Parte II · RGPD

Exercício 3 · Dados pessoais (15 pts)

Indica se cada item é dado pessoal segundo o RGPD:

a) Nome e apelido. ___

b) Idade média da turma. ___

c) Endereço IP. ___

d) Coordenadas GPS do telemóvel. ___

e) Estatística "70% dos clientes são mulheres". ___

f) NIF. ___

g) Foto de grupo onde se vêem caras. ___

a) Sim — identifica directamente. b) Não — não identifica indivíduos. c) Sim — identificável quando combinado com outros dados. d) Sim — localização individual. e) Não — agregado anónimo. f) Sim — identificador único. g) Sim — dados biométricos (cara reconhecível); categoria especial.

Exercício 4 · Bases legais (15 pts)

Para cada tratamento, indica a base legal apropriada:

a) Faturação de cliente. ___

b) Newsletter mensal. ___

c) Folha de salários enviada à Segurança Social. ___

d) Câmara CCTV em escola para segurança. ___

e) Recolha de dados médicos em hospital de urgência (pessoa inconsciente). ___

a) Execução de contrato — preciso emitir factura, é parte do contrato de venda.

b) Consentimento — sem obrigação contratual; cliente escolhe se quer.

c) Obrigação legal — empregador é obrigado por lei a comunicar SS.

d) Interesse legítimo (com aviso visível e balanço de direitos) ou interesse público.

e) Interesses vitais — para salvar a vida, dispensa consentimento que não pode dar.

Exercício 5 · Direitos (15 pts)

Um cliente envia email a pedir "todos os dados que tens sobre mim" e quer também que "apaguem tudo a partir de hoje".

a) Que direitos invoca?

b) Tens quanto tempo para responder?

c) Pode a empresa recusar o apagamento? Em que circunstâncias?

a) Direitos: - Acesso (Art. 15) — receber cópia dos dados. - Apagamento (Art. 17) — "ser esquecido".

b) Prazo: 1 mês (pode estender até 3 com justificação ao titular).

c) Recusa possível se houver obrigação legal de conservar: - Faturação — fisco exige conservar 10 anos. - Histórico médico — minimum legal. - Liberdade de expressão — jornalismo. - Defesa de direitos num processo judicial pendente.

Recusa tem de ser fundamentada e o cliente pode reclamar à CNPD.

Parte III · Cenário

Exercício 6 · Pequena empresa (30 pts)

Uma escola tem: - Lista de alunos (nome, NIF, contacto pais, notas, saúde). - Folha de salários de 30 professores. - Sistema de videovigilância à entrada. - Newsletter para encarregados de educação.

a) Identifica dados pessoais e categorias especiais. (10 pts)

b) Que base legal para cada tratamento? (10 pts)

c) Que medidas técnicas e organizacionais propões? (10 pts)

a) Dados:

Tratamento Pessoais Categoria especial
Alunos Nome, NIF, contactos, notas Saúde
Salários Nome, NIF, IBAN, valor Sindicalização (se aplicável)
Videovigilância Imagem Biométricos (face)
Newsletter Email

b) Bases legais:

c) Medidas:

Técnicas: - Encriptação de discos. - BD com acessos por funções (RBAC). - Backups encriptados, 3-2-1. - MFA em sistemas críticos. - Logs de acesso. - Câmaras com retenção máxima de 30 dias.

Organizacionais: - Política de protecção de dados publicada. - Formação dos funcionários. - DPO designado (escolas públicas obrigatório). - Termos de confidencialidade nos contratos. - Procedimento de resposta a pedidos de titulares. - Notificação CNPD em 72h em caso de violação. - Registo de actividades de tratamento (Art. 30).