ANEXO I – TERMO DE REFERÊNCIA

ANEXO I – TERMO DE REFERÊNCIA

1. OBJETO

1.1.Contratação de pessoa jurídica para implementação de procedimentos necessários à adequação das atividades desenvolvidas no âmbito do CRCSC à Lei Geral de Proteção de Dados(LGPD), Lei nº 13.709/2018, de 14 de agosto de 2018 e demais alterações, incluindo projeto, assessoria e consultoria

2. JUSTIFICATIVA DA CONTRATAÇÃO

2.1.A Lei nº 13.709/2018, Lei Geral de Proteção de Xxxxx Xxxxxxxx, trouxe mudanças profundas nas condições para o tratamento de dados pessoais, o que inclui atividades como coleta, armazenamento, utilização, compartilhamento e eliminação de informações relacionadas a pessoas naturais identificadas ou identificáveis.

2.2.O longo período entre a data de publicação da LGPD (agosto/2018) e o início de sua vigência (conforme disposto no art. 65 da mencionada Lei) deriva da complexidade nas ações que precisam ser tomadaspelas entidades para adaptação aos novos parâmetros legais. Tal afirmação tambémse aplica ao CRCSC.

2.3.O armazenamento e utilização de banco de dados cadastrais mantidos pelo CRCSC demanda cuidados importantes para o não comprometimento do sigilo destas informações. Assim, a implementação de ações que permitam aperfeiçoar os mecanismos de controle de acesso, fornecimento e compartilhamento de tais informações passa a ser imprescindível, dado que a LGPD já se encontra vigente.

2.4.Contudo, cabe destacar que não se encontra, atualmente, no quadro de empregados do CRCSC colaborador com a expertise, o conhecimento e a disponibilidade necessários para mapear os pontos de melhora que exijam ajustes, bem como elaborar as ações de adequação relevantes à implementação da LGPD no âmbito deste Regional.

3. DO CRITÉRIO DE JULGAMENTO

3.1.O critério de julgamento do objeto será o de MENOR VALOR GLOBAL, observado o disposto no Inciso I do art. 33 da Lei nº14.133 de 2021.

4. OBJETIVOS DA CONTRATAÇÃO

4.1.O objetivo desta contratação é realizar um levantamento da atual situação dos diversos bancos de dados do CRCSC, mapeando os fluxos de informações e processos organizacionais envolvidos, servindo de amparo para elaboração de um plano de ação com a finalidade de executar as medidas necessárias para adequação à Lei Geral de Proteção de Dados (LGPD).

4.2.O relatório possibilitará mapear os pontos de não conformidade, classificando-os de acordo com a criticidade, com apontamentos das medidas necessárias às adequações, permitindo ao gestor público determinar a prioridade na contratação de soluções para estes pontos, bem como decidir pela melhor solução considerando o interesse público.

4.3.A contratação permitirá avaliar as situações levantadas por meio de abordagem jurídica, tecnológica e de processos, a fim de garantir que as ações a serem implementadas sejam capazes de promover as alterações necessárias à adequação normativa de forma eficaz.

5. ESPECIFICAÇÃO DOS SERVIÇOS

5.1.Trata-se da contratação de pessoa jurídica especializada para prestação de serviços de consultoria e assessoramento, visando à implementação de programa de conformidade à Lei Geral de Proteção dos Dados (LGPD), definindo um conjunto de projetos e planos de ações que tratem dos seguintes temas:

5.1.1. Governança de proteção de dados pessoais;

5.1.2. Inventário de dados pessoais;

5.1.3. Inventário de serviços e processos que tratam dados pessoais;

5.1.4. Políticas, normas e procedimentos de Proteção de Dados Pessoais;

5.1.5. Conscientização e treinamento em Proteção de Dados Pessoais;

5.1.6. Gerenciamento de riscos em Segurança da Informação;

5.1.7. Gerenciamento de riscos em Segurança Cibernética;

5.1.8. Gerenciamento de riscos de terceiros;

5.1.9. Melhores práticas de Proteção de Xxxxx Xxxxxxxx;

5.1.10. Gerenciamento de demandas dos titulares;

5.1.11. Gerenciamento e plano de resposta de Incidentes;

5.1.12. Aspectos Legais vinculados à Proteção de Dados Pessoais.

5.2.Os serviços deverão ser executados em conformidade com as referências legais e normativas em vigor, a partir do mapeamento dos processos e sistemas que tratam dados pessoais, assim como de todos os ativos da informação que os suportam: equipamentos, sistemas ou aplicações, processos, contratos, convênios, recursos humanos e os respectivos dados pessoais, sensíveis ou não, tratados.

5.3.O programa de conformidade resultante deverá ser composto por um conjunto de projetos e planos de ações que possibilitem ao CRCSC se adequar às exigências da LGPD de maneira mais eficiente possível, em termos de riscos de litígios, tempo de implantação, recursos e orçamento necessário.

5.4.Os serviços contemplados nesta contratação serão agrupados em fases de acordo com as suas finalidades e afinidades, adiante especificadas, podendo o CRCSC alterar a ordem de realização destas, de acordo com a conveniência e oportunidade:

A. PLANEJAMENTO INICIAL;

B. MAPEAMENTO DO TRATAMENTO DOS DADOS;

C. ANÁLISE DE ADEQUAÇÃO;

D. CRIAÇÃO DO PROGRAMA DE CONFORMIDADE;

E. ASSESSORIA PARA IMPLANTAÇÃO DO PROGRAMA DE CONFORMIDADE.

5.5. PLANEJAMENTO INICIAL

5.5.1. Para implantação da Lei Geral de Proteção de Dados aos processos organizacionais do CRCSC, a Contratada deverá, inicialmente, definir o escopo de trabalho e sua abrangência por meio de reuniões com empregados do CRCSC, especialmente designados para este fim, que farão o levantamento de toda a documentação necessária dos Departamentos envolvidos, disponibilizando-os à Contratada para análise.

5.5.2. Dentre as atividades a serem desenvolvidas, deverá a Contratada efetuar reuniões para detalhamento do plano de projeto, contemplando a metodologia de gestão do projeto, macro programa, plano de comunicação, relatórios de status e interfaces.

5.5.3. Nas reuniões de início do projeto deverão ser tratados os temas:

5.5.3.1. A LGPD e seus aspectos direcionados à Administração Pública;

5.5.3.2. A importância da conformidade para o CRCSC;

5.5.3.3. O processo de adequação;

5.5.3.4. O processo de construção do programa de conformidade;

5.5.3.5. A definição dos agentes envolvidos e seus respectivos papéis de acordo com a Lei Geral de Proteção de Xxxxx.

5.5.4. As reuniões serão realizadas de forma remota ou, nos casos de inviabilidade técnica, de forma presencial na sede do CRCSC ou em uma de suas Unidades, a depender do caso.

5.5.5. Entregas da etapa:

5.5.5.1. Relatório com detalhamento do plano de projeto de adequação dos processos organizacionais do CRCSC à LGPD, contemplando a metodologia de gestão a ser aplicada.

5.6. MAPEAMENTO DO TRATAMENTO DE DADOS

5.6.1. Identificar o cenário atual do CRCSC em relação a processos, tecnologias, governança, políticas e normas e realizar a avaliação em relação às exigências da Lei nº 13.709/2018 (ex: gerenciamento de incidentes de privacidade; segurança da informação; gerenciamento do ciclo de vida dos dados; responsabilidade de processamento de dados; entre outros).

5.6.2. Avaliar os tipos de contratos/convênios existentes, verificando o impacto da LGPD

5.6.3. nestes, identificando, de forma fundamentada, a necessidade de atualização ou inclusão de cláusulas contratuais;

5.6.4. Identificar quais dados pessoais são tratados em cada procedimento desenvolvido no âmbito do CRCSC, documentar o fluxo dos dados, a infraestrutura de suporte (tratamento,armazenamento, importação/exportação de dados, sistemas de informação internos e externos, empresas, etc), o ciclo de vida da informação e os controles relacionados ao consentimento do titular;

5.6.5. Identificar o propósito de processamento de dados pessoais em cada

procedimento desenvolvido no âmbito do CRCSC. Identificar os processos nos quais o consentimento do titular dos dados pessoais utilizados deve ser solicitado e formalizado, e de que forma isso deve ocorrer;

5.6.6. Realizar avaliações para identificação de eventuais lacunas entre o cenário atual e as exigências da Lei nº 13.709/2018 e nº 13.853/2019 (ex: identificação de eventuais dados pessoais que não atendam aos critérios de finalidade de processamento; necessidades de alteração de processos/sistemas de informação para garantir o atendimento à lei; eventuais necessidades de alterações na gestão de consentimento, entre outros).

5.6.7. Identificar e mapear os controles de proteção de dados pessoais existentes frente aos requisitos descritos na LGPD (gap analysis).

5.6.8. Mapear os serviços e processos que tratam dados pessoais e todos os ativos da informação que os suportam: equipamentos, sistemas ou aplicações, recursos humanos e os respectivos dados pessoais tratados.

5.6.9. Mapear e documentar as políticas, normas e procedimentos que suportam os controles e fluxos de tratamento de dados pessoais.

5.6.10. Mapear as instalações envolvidas no tratamento de dados pessoais (data center, delegacias regionais, etc.).

5.6.11. Documentar as informações de pessoal de contato, informações de localização e tecnologias associadas com cada instalação.

5.6.12. Mapear o relacionamento entre as localidades e as atividades de tratamento de dados pessoais e processos de negócio envolvidos.

5.6.13. Identificar e mapear os controles de segurança (técnicos, administrativos e operacionais) implementados que ajam como salvaguardas para os tratamentos de dados pessoais efetuados.

5.6.14. Mapear os controles de segurança existentes frente aos requisitos descritos nas normas da ABNT ISO/IEC 27001, ISO/IEC 27002, ISO/IEC 27701, ISO/IEC 27014, ISO/IEC 27032 e ISO/IEC 27035 (gap analysis).

5.6.15. O mapeamento dos fluxos de tratamento de dados deve detalhar, para cada atividade do fluxo, os seguintes itens:

5.6.15.1. A atividade realizada;

5.6.15.2. A justificativa para a execução do tratamento;

5.6.15.3. O tratamento realizado, conforme descrito na LGPD;

5.6.15.4. Os pontos de coleta dos dados;

5.6.15.5. O método utilizado para o tratamento;

5.6.15.6. Os compartilhamentos de dados realizados;

5.6.15.7. Os ativos da informação utilizados;

5.6.15.8. Dados não estruturados utilizados, inclusive os que não são tratados por meios digitais;

5.6.15.9. Os controles de segurança e proteção de dados implementados.

5.6.16. Relativamente ao inventário de dados pessoais, a Contratada deverá sumarizar cada instância de cada dado pessoal utilizado nas operações do CRCSC,

especificando:

5.6.16.1. Dado pessoal utilizado;

5.6.16.2. Base legal de tratamento;

5.6.16.3. Área e processo de negócio que o utiliza;

5.6.16.4. Justificativa de negócio – finalidade(s);

5.6.16.5. Descrição do tratamento efetuado;

5.6.16.6. Fluxo de tratamento relacionado;

5.6.16.7. Tipo de tratamento efetuado;

5.6.16.8. Compartilhamentos realizados;

5.6.16.9. Prazo de retenção dos dados pessoais tratados;

5.6.16.10. Como é feito o descarte dos dados;

5.6.16.11. Controles de segurança e proteção de dados implementados.

5.6.17. O inventário deverá relacionar todos os processos do CRCSC que envolvam dados pessoais e dados sensíveis, nos termos da lei.

5.6.18. Entregas da etapa:

5.6.19. Relatório da situação atual do CRCSC em relação à LGPD, com o mapeamento dos fluxos de tratamento de dados e gaps identificados em:

5.6.19.1. Sistemas de informação;

5.6.19.2. Sistemas de segurança da informação;

5.6.19.3. Processos que tratam de dados pessoais; e d) Contratos e convênios do CRCSC.

5.6.20. Inventário de dados pessoais completo, contendo o tipo de dado, seu fluxo em formato BPMN (Business Process Model and Notation), localização, responsável, classificação da informação e gaps detectados nos processos de trabalho por Departamento, sistemas, utilização da rede corporativa e nos contratos/convênios, com a indicação das informações constantes no subitem 5.6.16.

5.6.21. Inventário dos tipos contratuais existentes no CRCSC e a definição dos textos das cláusulas específicas para cada tipo de contrato para sua adequação à lei.

5.7. ANÁLISE DE ADEQUAÇÃO

5.7.1. Com base no mapeamento do tratamento de dados disposto no item 5.6, a Contratada deverá efetuar a análise das necessidades de adequação à LGPD pelo CRCSC, especificando:

5.7.1.1. Situação encontrada no levantamento;

5.7.1.2. Evidências da situação encontrada;

5.7.1.3. Recomendações para adequação;

5.7.1.4. Propostas de ações de conformidade.

5.7.2. A análise deverá mencionar o dispositivo legal da LGPD relacionado a cada uma das situações encontradas, bem como outros normativos legais que eventualmente possam incidir na hipótese, além de avaliar a criticidade e apontar aquelas consideradas como preferenciais para início de adequação.

5.7.3. Entregas da etapa:

5.7.3.1. Mapeamento de riscos com a definição das medidas necessárias para a mitigação desses riscos capazes de gerar impacto potencial sobre o titular dos dados pessoais, sensíveis ou não, bem como a análise de riscos para o caso de um não atingimento de níveis aceitáveis de compliance em relação à LGPD.

5.7.3.2. Plano de Ação identificando os processos onde há necessidade de adequação à lei, definindo as ações que precisam ser implementadas para adequação dos processos por Departamento e Unidades Organizacionais, e o papel de cada responsável de acordo com a LGPD e outros normativos legais que, eventualmente, possam incidir à hipótese.

5.8. CRIAÇÃO DO PROGRAMA DE CONFORMIDADE

5.8.1. Com base em todas as evidências e recomendações apontadas, a Contratada deverá desenvolver um Programa de Conformidade do CRCSC à LGPD, contemplando um conjunto de projetos e planos de ação.

5.8.2. Para cada projeto constante do programa, deverá descrever, no mínimo:

5.8.2.1. Descrição resumida dos produtos/serviços/processos resultantes;

5.8.2.2. Justificativa(s) e objetivo(s);

5.8.2.3. Premissas e restrições;

5.8.2.4. Benefícios e resultados esperados;

5.8.2.5. Metas e indicadores de resultados;

5.8.2.6. Estimativa de duração;

5.8.2.7. Estimativa de recursos (materiais, equipamentos, softwares, dentre outros) e respectivos custos aproximados;

5.8.2.8. Estimativa de custo total para a adequada implementação da LGPD.

5.8.3. A Contratada deverá indicar os papéis, funções e responsabilidades que o CRCSC deve estabelecer segundo os requisitos da Lei nº 13.709/2018 (controlador, operador, encarregado, entre outros) e, ainda;

5.8.4. Identificar os controladores e processadores de dados envolvidos nos processos internos do CRCSC;

5.8.5. Estruturar o Relatório de Impacto à Proteção de Dados Pessoais (RIPD), previsto no art. 5º, XVII, da Lei nº 13.709/2018, e fornecer modelo de preenchimento, bem como dar suporte à equipe do CRCSC no desenvolvimento de novos RIPD’s, pelo período de vigência da contratação;

5.8.6. Revisar e propor as alterações necessárias nas políticas de privacidade, nas políticas e nos procedimentos de segurança e proteção de dados adotados pelo CRCSC, indicando também os recursos tecnológicos necessários;

5.8.7. Indicar a necessidade de contratação de softwares específicos e a implementação das alterações nos sistemas de informação existentes no CRCSC, quando necessário;

5.8.8. Criar processo para garantir o direito do titular da informação acerca dos dados tratados, de acesso, de retificação, de exclusão e, caso aplicável, de portabilidade dos dados pessoais, indicando a melhor forma possível de integrá-lo aos processos já existentes, quando necessário ao atendimento de disposição legal;

5.8.9. Criar o processo de gerenciamento de violações e notificações necessárias;

5.8.10. Criar o plano de gestão de crise em caso de incidente/violação de dados;

5.8.11. Elaborar modelos de termos de acordos de confidencialidade e sigilo com fornecedores, conveniados, prestadores de serviços, empregados e outros.

5.8.12. Entregas da Etapa:

5.8.12.1. Modelo de Relatório de Impacto à Proteção de Dados pessoais a ser adotado pelo CRCSC (RIPD);

5.8.12.2. Relatório de Avaliação de Legítimo Interesse (RALI);

5.8.12.3. Proposta de metodologia de conformidade contínua para governança, gestão da privacidade e segurança da informação no CRCSC;

5.8.12.4. Documentação dos processos organizacionais contemplando a descrição e fluxos de processos, recursos necessários e descrição das responsabilidades para os processos propostos ou implantados;

5.8.12.5. Documentação técnica gerada em todas as etapas das atividades desenvolvidas;

5.8.12.6. Mapa de processos de retificação, de exclusão e, caso aplicável, de portabilidade dos dados pessoais, contendo canal de interação do titular dos dados;

5.8.12.7. Plano de gestão de crise em caso de incidente/violação de dados.

5.9. ASSESSORIA PARA IMPLANTAÇÃO DO PROGRAMA DE CONFORMIDADE

5.9.1. A Contratada deverá prestar serviços de assessoria técnica e implementar um método de análise de impacto à privacidade, que será adotado pelo CRCSC em futuras alterações e implementações de processos e de sistemas de informação que envolvam o tratamento de dados pessoais, a fim de manter a conformidade com a LGPD;

5.9.2. A Contratada, no assessoramento de implementação do programa de conformidade, deverá, caso necessário, auxiliar o CRCSC na elaboração de editais de aquisição de licenças de softwares, de encomenda de projeto de elaboração de sistema, de contratação de serviços e aquisição de hardware, prestando os esclarecimentos e apresentando o detalhamento técnico necessário à contratação de solução eficiente e eficaz para tratamento das inconformidades apuradas;

5.9.3. A Contratada auxiliará a equipe do CRCSC na implementação de mecanismos de notificação, de forma digital ou presencial, e de acesso do titular de dados sobre o tratamento a ser executado pelo CRCSC, tais como: finalidade, quais dados serão tratados e o tempo necessário deste tratamento; acesso para correção de dados incompletos, inexatos ou desatualizados e informação sobre o compartilhamento de dados com outras entidades públicas ou privadas;

5.9.4. A Contratada deverá propor e apoiar a implantação das melhores práticas para o gerenciamento do ciclo de vida dos dados pessoais e o gerenciamento de consentimento do titular, indicando, também, os recursos tecnológicos necessários, como softwares específicos;

5.9.5. Para o fim de promover a divulgação do Programa de Conformidade aos colaboradores (conselheiros, delegados, empregados, entre outros) do CRCSC, deverá a Contratada realizar treinamentos referentes aos processos implantados, ou ajustados, de acordo com a LGPD. Os treinamentos e capacitações serão ministrados de forma remota, ou, nos casos de inviabilidade técnica ou comum acordo entre as partes, de forma presencial na sede do CRCSC em Florianópolis- SC.

5.9.6. Deverá a Contratada assessorar a equipe do CRCSC, responsável pela implantação do programa de conformidade, na elaboração de regras de boas práticas e de governança, com indicação das condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, os padrões técnicos que deverão ser seguidos, além das obrigações específicas para os diversos agentes envolvidos no tratamento.

5.9.7. Serão igualmente indicadas pela Contratada as normas de segurança que deverão ser adotadas no tratamento de dados, as ações educativas necessárias, os mecanismos internos de supervisão e de mitigação de riscos e demais aspectos relacionados ao tratamento de dados pessoais, necessários à devida adequação à Lei.

5.9.8. Propor modalidades de disseminação da política de governança adotada para os demais colaboradores do CRCSC.

5.9.9. Para consecução das atividades indicadas no presente item (5.9), estima- se a utilização de 200 (duzentas) horas técnicas de consultoria, as quais deverão compor o custo da contratação na proposta da futura Contratada. Deverá, ainda, ser indicado o valor unitário da hora técnica para eventuais acréscimos ou supressões durante a vigência do contrato.

5.9.10. O pagamento pelas horas técnicas de assessoria será devido somente após a conclusão da etapa de criação do programa de conformidade, com a entrega da documentação indicada no subitem 5.8.12. Todos os outros serviços precedentes que demandarem a presença in loco na sede do CRCSC ou remotamente, serão remunerados pelo valor constante na proposta comercial relativa aos serviços de planejamento, mapeamento, análise de adequação e desenvolvimento de plano de ação de conformidade à LGPD.

5.9.11. As atividades relacionadas no presente item e nos itens precedentes não excluem outras atividades destinadas à adequação dos procedimentos do CRCSC às exigências da Lei nº 13.709/2018, criadas por regulamentação posterior da Autoridade Nacional de Proteção de Dados.

6. LOCAL DE PRESTAÇÃO

6.1.Os serviços deverão ser prestados considerando-se toda a estrutura física, lógica e remota do CRCSC, incluindo delegacias regionais, localizadas nos endereços abaixo:

6.1.1. SEDE DO CRCSC: Xxxxxxx Xxxxxxxxx Xxxxxx, 0000, Xxxxxx, Xxxxxxxxxxxxx-

XX, XXX 00.000-000.

6.1.2. ARQUIVO FÍSICO DO CRCSC: Rua Xxxxxx Xxxxxxx, xx, Xxxxxx Xxxx Xxxxx, 0x xxxxx, Xxxxxx, Xxxxxxxxxxxxx-XX, XXX 88.xxx-xxx.

6.1.3. BLUMENAU: Rua XV de Novembro, 550 - Sala 1301 - Ed. Catarinense - Xxxxxx - XXX 00000-000 - Xxxxxxxx/XX.

6.1.4. CHAPECÓ: Avenida Xxxxxxx Xxxxxxxx Xxxxxx, 1403-N, sala 206 - Xxxxxxxx Xxx Xxxxxxx - XXX 00000-000 - Xxxxxxx/XX.

6.1.5. CRICIÚMA: Rua Xxxxxxx Xxxxxxxxx Xxxx, 91, 1° andar, Próspera, Sala 08

- Xxxxxx Xxxxxxxxxxx xx Xxxxxxxx (XXXX) - XXX 00000-000 - Xxxxxxxx/XX

6.1.6. ITAJAÍ: Rua Xxxx Xxxxx, 498 Sala 504 - Centro - Xx. Xxxxxxx xx Xxxxx - XXX 00000-000 - Xxxxxx/XX.

6.1.7. JOAÇABA: Xxx Xxxx Xxxxx, 000 - 0x Xxxxx - Xxxx 000 - XXX 00000-000 - Xxxxxxx/XX.

6.1.8. JOINVILLE: Xxxxxxx Xxxxxxxxx Xxxxxxxxxxx, 000 – Xxxx 0000 - Xxxxx X - XXX 00000-000 - Xxxxxxxxx/XX.

6.1.9. LAGES: Xxx Xxxxx Xxxxx, 00 - xxxx 00 - Xx. Xxxxxxxxxx (Xxxxxx) - XXX 00000-000 - Lages/SC.

6.1.10. SÃO MIGUEL DO OESTE: Rua Sete de Setembro 2307, sala 111G (Xxxxxx Xxxxxxxxx Xxxxxxxxx) - XXX 00000-000 - Xxx Xxxxxx xx Xxxxx/XX.

0.0.Xx reuniões presenciais serão realizadas na sede do CRCSC em Florianópolis-SC.

7. DOS PRAZOS E CRONOGRAMA DE EXECUÇÃO

7.1.Os serviços de planejamento inicial, mapeamento do tratamento de dados, análise de adequação e criação do programa de conformidade deverão ser executados por completo em até 180 (cento e oitenta) dias corridos, após o início da prestação dos serviços, programados para ocorrer em até 5 (cinco) dias úteis após a assinatura do contrato.

7.1.1. Exclui-se do período acima os serviços de assessoramento e consultoria para implementação do programa de conformidade, que deverão ser executados até o fim da vigência contratual.

7.2.O contrato terá vigência pelo prazo de 12 (doze) meses contados de sua assinatura, sendo admitida a sua prorrogação nos termos do art. 107 da Lei nº 14.133 de 2021.

7.3.O cronograma abaixo contempla os prazos em dias corridos que deverão ser observados para cada etapa deste projeto, podendo ser prorrogado por igual período, a critério do CRCSC:

Etapa	Prazo
Planejamento Inicial	15 dias
Mapeamento do tratamento de dados	90 dias

Análise de adequação	30 dias
Criação do programa de conformidade	45 dias
Assessoria para implementação do programa de conformidade	180 dias

7.4. O prazo da etapa “Planejamento Inicial” será contado a partir do início da prestação dos serviços, sendo os demais contados da data de aprovação da etapa precedente.

8. CONSIDERAÇÕES BÁSICAS

8.1.Os serviços deverão ser desempenhados observando-se todo o regramento legal relativo ao tema de que trata a Lei nº 13.709/2018, incluindo normas técnicas, demais instrumentos normativos e regulamentações posteriores da Autoridade Nacional de Proteção de Dados.

8.2.A proposta terá validade de 60 (sessenta) dias.

9. VALOR MÁXIMO PARA A CONTRATAÇÃO

9.1.O valor máximo aceitável para a contratação dos serviços de planejamento, mapeamento, análise de adequação e desenvolvimento de plano de ação de conformidade à LGPD será de R$ 30.000,00 (trinta mil reais).

9.2.Os serviços de assessoria para implementação do programa de conformidade com a LGPD serão remunerados por meio de horas técnicas, estimando-se, para tanto, a utilização pelo CRCSC de 200 (duzentas) horas técnicas com valor máximo total apurado em pesquisas de mercado de R$ 11.600,00 (onze mil e seiscentos reais), que corresponde ao valor unitário máximo de R$ 33,00 trinta e três reais).

9.3.Considerando que o objeto a ser licitado terá como critério de julgamento o de menor valor global, utiliza-se para esta referência a soma dos valores descritos nos itens

9.1 e 9.2, o que totaliza R$ 41.600,00 (quarenta e um mil e seiscentos reais).

9.4.Os valores discriminados nos itens 9.1 e 9.2 resultam de consulta de mercado realizada para contratação dos serviços mencionados, e compõem o preço de referência, considerado valor máximo para contratação, nos termos do que autoriza a Instrução Normativa nº 65/2021 – SG/ME, art. 5º.

9.5.Cabe ressaltar que a quantidade de 200 (duzentas) horas técnicas indicadas no subitem 9.2 não vincula o CRCSC à sua utilização, tratando-se de mera estimativa, não gerando direito à Contratada.

10.DAS OBRIGAÇÕES DO CONTRATANTE

10.1. Exigir o cumprimento de todas as obrigações assumidas pela CONTRATADA, de acordo com as cláusulas contratuais, termo de referência, anexos e os termosde sua proposta.

10.2. Exigir da CONTRATADA, a qualquer tempo, a comprovação das condições de habilitação e qualificação exigidas no edital de licitação.

10.3. Notificar a CONTRATADA, por escrito, qualquer ocorrência considerada irregular, bemcomo qualquer defeito ou imperfeição observada quando da prestação

dos serviços, podendo, ainda, rejeitar em parte ou totalmente os serviços em desacordo com as especificações listadas no item 5.

10.4. Designar um fiscal e respectivo substituto para acompanhar, fiscalizar e atestar a entrega dos materiais, conforme item 16.

10.5. Efetuar o pagamento devido, após atesto do gestor do contrato, desde que cumpridas todas as formalidades e exigências contratuais, bem como o item 12.

10.6. Oferecer informações à CONTRATADA, sempre que necessário para execução dos trabalhos.

11.DAS OBRIGAÇÕES DA CONTRATADA

11.1. Caberá ao licitante vencedor, a partir da assinatura do termo contratual, o cumprimento das seguintes obrigações.

11.2. Cumprir todas as disposições referentes ao objeto deste termo de referência e assumir, de forma irrevogável e sem ressalvas, a integral responsabilidade pela execução do contrato, de acordo com as obrigações legais, técnicas e contratuais;

11.3. Responsabilizar-se pela qualidade dos serviços executados e dos recursos empregados, em conformidade com as especificações deste Termo de Referência, sem ônus para a Contratante e sem prejuízo da aplicação das sanções cabíveis;

11.4. Cumprir os prazos para prestação dos serviços descritos no presente termo de referência e entrega dos materiais correspondentes, quando exigidos;

11.5. Arcar com todos os custos necessários à completa prestação dos serviços, responsabilizando-se por todos os encargos fiscais, comerciais e trabalhistas, resultantes desta contratação;

11.6. Responsabilizar-se inteira e exclusivamente pelo uso regular de marcas, patentes, registros, processos e licenças relativas à execução desta contratação, eximindo a Contratante das consequências de qualquer utilização indevida;

11.7. Executar todas as atividades pertinentes a este termo de referência por meio

11.8. de equipe técnica comprovadamente especializada, com rigorosa observância aos conceitos técnicos estabelecidos nos documentos contratuais e tudo mais que for necessário ao perfeito cumprimento das obrigações previstas neste Termo de Referência;

11.9. Observar, para o cumprimento do objeto deste Termo de Referência, as disposições da Lei nº 13.709/2018 e alterações, bem como demais normativos legais, de ordem técnica, que possam recair na hipótese, além das regulamentações da Autoridade Nacional de Proteção de Dados, quando couber;

11.10. Cumprir o disposto na legislação trabalhista e nas normas regulamentadoras relativas à segurança e medicina do trabalho, na legislação ordinária federal, estadual e municipal, aplicáveis ao objeto deste Termo de Referência, bem como os acordos e convenções coletivas de trabalho das categorias profissionais envolvidas;

11.11. Responsabilizar-se inteiramente pelo pessoal alocado na prestação dos serviços objeto deste Termo de Referência, observando rigorosamente todas as

prescrições relativas às leis sociais, fiscais, comerciais, trabalhistas e previdenciárias, sendo considerada, em qualquer circunstância, como a única empregadora responsável e também por qualquer adicional relativo à remuneração desse pessoal que seja ou venha a ser devido;

11.12. Respeitar as normas e procedimentos de controle interno, inclusive de acesso às dependências do CRCSC;

11.13. Responder pelos danos causados diretamente à Administração ou aos bens do CRCSC, ou ainda a terceiros, decorrentes de sua culpa ou dolo, durante a execução do contrato, não excluindo ou reduzindo essa responsabilidade a fiscalização ou o acompanhamento pelo CRCSC;

11.14. Comunicar ao CRCSC qualquer anormalidade constatada durante a prestação dos serviços e prestar os esclarecimentos solicitados;

11.15. Manter, durante o período de vigência do contrato, o atendimento a todas as condições de habilitação e qualificação exigidas na licitação;

11.16. Autorizar e assegurar ao CRCSC o direito irrestrito de fiscalizar, sustar, recusar, mandar desfazer ou refazer qualquer serviço que não esteja de acordo com a técnica e as especificações deste termo de referência.

11.17. Manter sigilo sobre toda e qualquer informação confidencial, reservada ou exclusiva, incluindo informações técnicas, de negócios ou financeira, comunicada pelo CRCSC em função do contrato.

11.18. Ao licitante vencedor caberá assumir a responsabilidade por:

11.19. Todas as providências e obrigações estabelecidas na legislação específica de acidentes de trabalho, quando, em ocorrência da espécie forem vítimas os seus empregados durante a execução do contrato, ainda que ocorrido nas dependências do CRCSC;

11.20. Todos os encargos de possível demanda trabalhista, civil ou penal, relacionada à execução do contrato, originariamente ou vinculada por prevenção, conexão ou continência;

11.21. Encargos fiscais e comerciais resultantes desta contratação.

11.22. São expressamente vedadas ao licitante vencedor:

11.23. A contratação de servidor pertencente ao quadro de pessoal do CRCSC para execução do contrato decorrente desta licitação;

11.24. A veiculação de publicidade acerca do contrato, salvo se houver prévia autorização da Administração do Conselho;

11.25. A subcontratação de outra empresa para a execução do objeto deste Termo;

11.26. Comercializar, no todo ou em parte, qualquer produto gerado a partir do Contrato, sob pena de rescisão contratual, inclusive, responsabilidade administrativa e eventual demanda judicial.

11.27. A inadimplência do licitante vencedor, com referência aos encargos sociais, comerciais e fiscais não transfere a responsabilidade por seu pagamento ao Conselho, nem poderá onerar o objeto desta contratação.

00.XX SIGILO

12.1. A CONTRATADA deverá manter sigilo sobre toda e qualquer informação confidencialreservada ou exclusiva, incluindo informações técnicas, de negócio ou financeira, comunicada pelo CRCSC em função do contrato, exceto as informações que:

12.2. Sejam de domínio público à época da comunicação;

12.3. Seja conhecida pela parte receptora antes da comunicação ou caia no domínio público sem culpa da parte receptora; ou

12.4. Seja desenvolvida, de modo independente, pela parte receptora, sem uso de informação confidencial.

13.DAS SANÇÕES ADMINISTRATIVAS

13.1. Comete infração administrativa o fornecedor que cometer quaisquer das infrações previstas no art. 155 da Lei nº 14.133, de 2021, quais sejam:

13.1.1. dar causa à inexecução parcial do contrato;

13.1.2. dar causa à inexecução parcial do contrato que cause grave dano à Administração, ao funcionamento dos serviços públicos ou ao interesse coletivo;

13.1.3. dar causa à inexecução total do contrato;

13.1.4. deixar de entregar a documentação exigida para o certame;

13.1.5. não manter a proposta, salvo em decorrência de fato superveniente devidamente justificado;

13.1.6. não celebrar o contrato ou não entregar a documentação exigida para a contratação, quando convocado dentro do prazo de validade de sua proposta;

13.1.7. ensejar o retardamento da execução ou da entrega do objeto da licitação sem motivo justificado;

13.1.8. apresentar declaração ou documentação falsa exigida para o certame ou prestar declaração falsa durante a dispensa eletrônica ou a execução do contrato;

13.1.9. fraudar a dispensa eletrônica ou praticar ato fraudulento na execução do contrato;

13.1.10. comportar-se de modo inidôneo ou cometer fraude de qualquer natureza;

13.1.10.1. Considera-se comportamento inidôneo, entre outros, a declaração falsa quanto às condições de participação, quanto ao enquadramento como ME/EPP ou o conluio entre os fornecedores, em qualquer momento da dispensa, mesmo após o encerramento da fase de lances.

13.1.11. praticar atos ilícitos com vistas a frustrar os objetivos deste certame.

13.1.12. praticar ato lesivo previsto no art. 5º da Lei nº 12.846, de 1º de agosto de 2013.

13.2. O fornecedor que cometer qualquer das infrações discriminadas nos subitens anteriores ficará sujeito, sem prejuízo da responsabilidade civil e criminal, às seguintes sanções:

13.2.1. Advertência pela falta do subitem 13.1.1 deste Aviso de Contratação Direta, quando não se justificar a imposição de penalidade mais grave;

13.2.2. Multa de 10% (dez por cento) sobre o valor estimado do(s) item(s) prejudicado(s) pela conduta do fornecedor, por qualquer das infrações dos subitens 13.1.1 a 13.1.12;

13.2.3. Impedimento de licitar e contratar no âmbito da Administração Pública direta e indireta do ente federativo que tiver aplicado a sanção, pelo prazo máximo de 3 (três) anos, nos casos dos subitens 13.1.2 a 13.1.7 deste Aviso de Contratação Direta, quando não se justificar a imposição de penalidade mais grave;

13.2.4. Declaração de inidoneidade para licitar ou contratar, que impedirá o responsável de licitar ou contratar no âmbito da Administração Pública direta e indireta de todos os entes federativos, pelo prazo mínimo de 3 (três) anos e máximo de 6 (seis) anos, nos casos dos subitens 13.1.8 a 13.1.12, bem como nos demais casos que justifiquem a imposição da penalidade mais grave;

13.3. Na aplicação das sanções serão considerados:

13.3.1. a natureza e a gravidade da infração cometida;

13.3.2. as peculiaridades do caso concreto;

13.3.3. as circunstâncias agravantes ou atenuantes;

13.3.4. os danos que dela provierem para a Administração Pública;

13.3.5. a implantação ou o aperfeiçoamento de programa de integridade, conforme normas e orientações dos órgãos de controle.

13.4. Se a multa aplicada e as indenizações cabíveis forem superiores ao valor de pagamento eventualmente devido pela Administração ao contratado, além da perda desse valor, a diferença será descontada da garantia prestada ou será cobrada judicialmente.

13.5. A aplicação das sanções previstas neste Aviso de Contratação Direta, em hipótese alguma, a obrigação de reparação integral do dano causado à Administração Pública.

13.6. A penalidade de multa pode ser aplicada cumulativamente com as demais sanções.

13.7. Se, durante o processo de aplicação de penalidade, houver indícios de prática de infração administrativa tipificada pela Lei nº 12.846, de 1º de agosto de 2013, como ato lesivo à administração pública nacional ou estrangeira, cópias do processo administrativo necessárias à apuração da responsabilidade da empresa deverão ser remetidas à autoridade competente, com despacho fundamentado, para ciência e decisão sobre a eventual instauração de investigação preliminar ou Processo Administrativo de Responsabilização – PAR.

13.8. A apuração e o julgamento das demais infrações administrativas não consideradas como ato lesivo à Administração Pública nacional ou estrangeira nos termos da Lei nº 12.846, de 1º de agosto de 2013, seguirão seu rito normal na unidade administrativa.

13.9. O processamento do PAR não interfere no seguimento regular dos processos administrativos específicos para apuração da ocorrência de danos e prejuízos à Administração Pública Federal resultantes de ato lesivo cometido por pessoa jurídica, com ou sem a participação de agente público.

13.10. A aplicação de qualquer das penalidades previstas realizar-se-á em processo administrativo que assegurará o contraditório e a ampla defesa ao fornecedor/adjudicatário, observando-se o procedimento previsto na Lei nº 14.133, de 2021, e subsidiariamente na Lei nº 9.784, de 1999.

00.XX PAGAMENTO

14.1. O pagamento pelos serviços prestados nas etapas de planejamento inicial, mapeamento do tratamento de dados, análise de adequação e criação do programa de conformidade será feito de acordo com o cronograma abaixo:

Etapas		Percentual correspondente
1	Planejamento Inicial	10%
2	Mapeamento do tratamento de dados	25%
3	Análise de adequação	25%
4	Criação do programa de conformidade	40%

14.2. Para efeito de pagamento dos serviços prestados, excluiu-se do cronograma acima ovalor referente às horas técnicas de assessoria para implementação do programa deconformidade, que serão pagas após concluídas as etapas precedentes por meio de horas técnicas de consultoria realizadas mensalmente, estimando-se a utilização, durante a vigência do contrato, do total de 200 (duzentas) horas técnicas.

14.3. O pagamento será efetuado no prazo de até 05 (cinco) dias úteis após a prestaçãodos serviços e entrega dos materiais correspondentes a cada etapa, se o caso, e

respectivo atesto do fiscal de contrato, condicionado à apresentação de nota fiscal/fatura acompanhada do relatório de entregas, apresentação das certidões negativas de débitos junto ao FGTS e Receita Federal, devidamente atualizadas, conforme exigência legal e IN 1234/2012/SRF.

14.4. Havendo erro no documento de cobrança ou outra circunstância que impeça a liquidação da despesa, esta ficará com o pagamento pendente até que a CONTRATADA providencie as medidas saneadoras necessárias, não ocorrendo, neste caso, qualquer ônus à CONTRATANTE.

14.5. De acordo com o artigo 64, da Lei nº 9.430, de 27.12.96, os pagamentos efetuadospor Órgão, Autarquias e Fundações da Administração Pública Federal à Pessoas Jurídicas, pelo fornecimento de bens e/ou prestação de serviços, estarão sujeitos à incidência, na fonte, do Imposto sobre a Renda, da Contribuição Social sobre o Lucro Líquido, da Contribuição para Seguridade Social – COFINS e da Contribuição para o PIS/PASEP.

14.6. Caso a CONTRATADA seja optante pelo Sistema Integrado de Pagamento de Impostos e Contribuições das Microempresas e Empresas de Pequeno Porte- SIMPLES, desde que não haja vedação legal para tal opção em razão do objeto executado, deverá apresentar, juntamente com a nota fiscal/fatura, a devida comprovação, a fim de evitar a retenção na fonte dos tributos e contribuições, conforme legislação em vigor.

15.DA SUBCONTRATAÇÃO

15.1. Não será admitida a subcontratação do objeto licitatório.

16.DA FISCALIZAÇÃO E GESTÃO CONTRATUAL

16.1. O acompanhamento e a fiscalização da execução do contrato consistem na verificação da conformidade da prestação dos serviços e da alocação dos recursos necessários, de forma a assegurar o perfeito cumprimento do ajuste, devendo ser

exercidos por um ou mais representantes da CONTRATANTE, especialmente designados por meio de Portaria, na forma dos arts. 117 da Lei nº 14.133, de 2021.

16.2. O descumprimento total ou parcial das obrigações e responsabilidades assumidas pela CONTRATADA ensejará a aplicação de sanções administrativas, previstas nesteTermo de Referência e na legislação vigente, podendo culminar em rescisão contratual, conforme disposto nos artigos 137 e 139 da Lei nº 14.133, de 2021.

16.3. A fiscalização de que trata o item 16.1 não exclui nem reduz a responsabilidade da CONTRATADA, até mesmo perante terceiros, por qualquer irregularidade, inclusive resultante de imperfeições técnicas ou vícios, emprego de material inadequado ou dequalidade inferior e, na ocorrência desta, não implica em corresponsabilidade do Conselho ou de seus agentes e prepostos (art. 120, da Lei nº 14.133, com suas alterações).

17.DOTAÇÃO ORÇAMENTÁRIA

17.1. As despesas do presente contrato serão custeadas pelo orçamento geral do CRCSC para o exercício de 2021, projeto nº 5028 (Governança da Informação), conta de despesa nº 6.3.1.3.02.01.002 (serviço de assessoria e consultoria).

ANEXO

PROPOSTA COMERCIAL

Pregão Eletrônico CRCSC Nº XX/2021

IDENTIFICAÇÃO DA EMPRESA
Razão Social:
CNPJ:		Data:
Endereço:		UF:	CEP:
E-mail:		Telefone:

LOTE ÚNICO	DESCRIÇÃO DOS SERVIÇOS	Valor total (R$)
Item 01	Planejamento Inicial Mapeamento do tratamento de dados do CRCPR Análise de Adequação Criação do Programa de Conformidade com a LGPD
Item 02	Assessoria para Implementação do Programa de Conformidade com a LGPD (correspondente à estimativa de 200 horas técnicas)
TOTAL GLOBAL

INFORMAÇÃO COMPLEMENTAR
Valor unitário da hora técnica	R$

Prazo de Validade da Proposta: 60 dias Prazo de entrega:

Declaramos que no preço acima estão inclusos todos os custos necessários para o cumprimento do objeto da licitação, bem como todos os impostos e encargos trabalhistas, previdenciários, fiscais e comerciais, assim como taxas, fretes, seguros e quaisquer outros elementos que incidam ou venham a incidir sobre o objeto licitado.

             ,    de              de 2021.

Assinatura do Representante Legal