Alternativa D - O controlador deve garantir medidas técnicas e administrativas de segurança.
Justificativa Didática:
A Lei Geral de Proteção de Dados (LGPD) estabelece responsabilidades claras para os agentes de tratamento de dados. A alternativa D está correta porque o Artigo 46 da lei determina explicitamente que os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas.
Isso significa que o controlador (quem decide sobre o tratamento) tem a obrigação legal de implementar proteções robustas, como criptografia, políticas de acesso e treinamento de pessoal.
Análise das demais alternativas:
- A) Incorreta: O controlador é exatamente a figura que determina as finalidades e os meios do tratamento de dados. Definir o "porquê" e o "como" é sua função principal.
- B) Incorreta: A LGPD possui alcance extraterritorial. Ela se aplica mesmo quando a operação ocorre fora do Brasil, desde que o dado tenha origem no país ou envolva oferta de bens/serviços a indivíduos no Brasil.
- C) Incorreta: O titular dos dados possui uma série de direitos garantidos pelo Artigo 18, incluindo solicitação de confirmação, acesso, correção, eliminação e portabilidade dos dados.
- E) Incorreta: Quem tem a competência para aplicar as sanções administrativas é a Autoridade Nacional de Proteção de Dados (ANPD), e não o operador. O operador pode ser multado se descumprir a lei, mas ele não é quem aplica a punição.