CONSELHO FEDERAL DE ADMINISTRAÇÃO
CONSELHO FEDERAL DE ADMINISTRAÇÃO
ESTUDO TÉCNICO PRELIMINAR DA CONTRATAÇÃO - ETP-TIC Nº 26/2023/CFA
PROCESSO Nº 476900.004607/2023-60
1. DESCRIÇÃO DA NECESSIDADE DA CONTRATAÇÃO
O advento da LGPD requer que a entidade adote medidas administrativas e técnicas para verificação de sua conformidade à referida norma, bem como faça a adequação necessária.
O CONTRATANTE não dispõe de pessoal suficiente e com domínio de conhecimento adequado para a execução deste processo, requerendo contratação de empresa especializada, haja vista a inovação trazida pela norma citada quanto à publicidade do tratamento de dados de pessoas naturais e à definição explícita de atendimento dos direitos do titular desses dados.
O CONTRATANTE realiza tratamento de dados pessoais de diversas fontes: pessoal contratado, conselheiros, partes interessadas em contratos, profissionais registrados, dentre outros, o que justifica explicitamente a sua conformidade com a LGPD.
Por fim, acórdãos recentes expedidos ao CONTRATANTE pelo TCU levantam situação da entidade quanto à conformidade com boas práticas relacionadas a segurança de sistemas de informação padronizadas pela ABNT.
O serviço pretendido compreenderá consultoria e assessoria jurídico-administrativa para atingimento dos seguintes objetivos:
1.1. Estabelecimento de programa de governança de privacidade de dados pessoais (PGP) – prática administrativa que promoverá, dentre outras ações:
a) Aquisição de cultura de proteção de dados;
b) Estabelecimento de política de tratamento de dados pessoais, desde sua coleta até o descarte;
c) Implementação de princípios de privacidade desde o início da concepção de processos e serviços que tratem dados pessoais; e
d) Identificação do papel de controle e de operação, com definição clara de suas responsabilidades.
1.2. Tratamento de riscos específicos, como por exemplo:
a) Violação de dados pessoais em processos de trabalho vulneráveis;
b) Multa por falta de tratamento adequado e não atendimento ao direito do titular de dados pessoais;
c) Bloqueio de bancos de dados contendo dados pessoais, a requerimento da Agência Nacional de Proteção de Dados - ANPD;
d) Prejuízo à imagem institucional; e
e) Paralisação das atividades do CONTRATANTE.
A execução do serviço será realizada em fases bem definidas, detalhadas na DESCRIÇÃO DA SOLUÇÃO COMO UM TODO.
2. OBJETO
2.1. Contratação de empresa especializada na prestação de serviços de consultoria para realização de programa de adequação do CONTRATANTE à Lei 13.079, de 14 de agosto de 2018 - Lei Geral de Proteção de Dados Pessoais (LGPD), conforme fases, condições, quantidades, exigências e especificações técnicas estabelecidas neste documento.
3. ALINHAMENTO COM O PLANEJAMENTO DA ADMINISTRAÇÃO
3.1. Em sua primeira dotação orçamentária de 2021, a administração identificou a demanda e registrou o valor estimativo de R$ 50.000,00 (cinquenta mil reais) para a execução deste serviço.
Destaque-se a necessidade de sua execução, previamente descrita.
3.2. A dotação orçamentária para execução do objeto é a conta contábil 6.2.2.1.1.01.04.04.048.
4. REQUISITOS DA CONTRATAÇÃO
4.1. Legais
A contratação e sua execução estão baseadas na conformidade com a seguinte legislação:
Lei 13.079, de 14 de agosto de 2018 (LGPD) Lei 14.133, de 1º de abril de 2021 (NLL) Portaria CFA nº 68, de 6 de dezembro de 2021
Política de Segurança da Informação do CONTRATANTE (PSI) Instrução Normativa nº 73, de 5 de agosto de 2020
Lei 4.769, de 9 de setembro de 1965
Decreto nº 61.934, de 22 de dezembro de 1967
ABNT NBR ISO/IEC 27001:2020 – Segurança da informação, segurança cibernética e proteção à privacidade – Sistemas de gestão da segurança da informação - Requisitos ABNT NBR ISO/IEC 27002:2020 – Segurança da informação, segurança cibernética e proteção à privacidade – Controles de segurança da informação
ABNT NBR ISO/IEC 27003:2020 – Tecnologia da informação – Técnicas de segurança – Sistemas de gestão da segurança da informação – Orientações
ABNT NBR ISO/IEC 27007:2021 – Segurança da informação, segurança cibernética e proteção à privacidade – Diretrizes para auditoria de sistemas de gestão da segurança da informação
ABNT NBR ISO/IEC 27014:2021 – Segurança da informação, segurança cibernética e proteção à privacidade – Governança da segurança da informação ABNT NBR ISO/IEC 27555:2023 – Segurança da informação, segurança cibernética e proteção à privacidade – Diretrizes sobre remoção de dados pessoais
ABNT NBR ISO/IEC 27701:2019 – Técnicas de segurança – Extensão da ABNT NBR ISO/IEC 27001 e ABNT NBR ISO/IEC 27002 para gestão da privacidade da informação – Requisitos e diretrizes
ABNT NBR ISO/IEC 29100:2020 – Tecnologia da informação – Técnicas de segurança – Estrutura da privacidade
ABNT NBR ISO/IEC 29134:2020 – Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de privacidade – Diretrizes ABNT NBR ISO/IEC 29151:2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais ABNT NBR ISO/IEC 29184:2021 – Tecnologia da informação – Avisos de privacidade on-line e consentimento
ABNT NBR ISO/IEC 29184:2021 – Tecnologia da informação – Avisos de privacidade on-line e consentimento ABNT NBR ISO/IEC 31000:2018. Gestão de riscos – Diretrizes
4.2. De nível de serviço
A CONTRATADA deverá realizar as entregas conforme prazos estipulados em cronograma de trabalho pré-definido neste documento e firmado definitivamente em contrato.
Qualquer atraso ou descumprimento deverá ser justificado, desde que o CONTRATANTE não tenha dado causa, da seguinte forma:
a) Em até 2 horas, caso o entregável ou atendimento tenha prazo de cumprimento em horas; e
b) Em até 1 dia útil, caso o entregável ou atendimento tenha prazo de cumprimento em dias ou data específica.
A atraso ou descumprimento, não justificado, causado pela CONTRATADA, incidirá sanção a ser definida em contrato, de acordo com o tipo do entregável não fornecido em conformidade e no prazo previsto.
Grau de severidade será estabelecido para atraso ou descumprimento de execução do contrato, implicando sanções que podem variar de advertência a impedimento de licitar com a Administração. Entende-se por Administração, no campo estrito, o CONTRATANTE, quando se referir ao fornecimento do serviço que se pretende contratar. No campo mais amplo, entende-se por Administração a entidade composta por todos os órgãos definidos em Lei que cria e que regulamenta o papel do CONTRATANTE e a este relacionado, quando se referir aos efeitos das sanções aplicadas à CONTRATADA.
Entrega fora de prazo causada por ação ou inação do CONTRATANTE não sujeita a CONTRATADA a sanção por descumprimento de acordo de nível de serviço (SLA).
4.3. De comunicação entre as partes
A CONTRATADA deverá manter meio de comunicação disponível, conforme estabelecido em contrato, para atendimento de demandas do CONTRATANTE, necessárias ao acompanhamento dos trabalhos relacionados à execução do serviço.
4.4. Da segurança da informação
A CONTRATADA deverá firmar termo de confidencialidade responsabilizando-se a não dar publicidade a todo e qualquer conteúdo obtido do CONTRATANTE, independente do seu formato e meio de coleta, desde que o CONTRATANTE não tenha dado publicidade prévia a tal conteúdo.
A CONTRATADA deverá realizar os serviços em conformidade com a legislação vigente quanto ao trato de dados de pessoa natural, na qualidade de OPERADOR, e em conformidade com a PSI.
O termo de confidencialidade deverá declarar que toda a informação coletada pela CONTRATADA deverá observar ser utilizada exclusivamente para atendimento da realização do serviço e que deverá ser eliminada conforme orientação dada pelo CONTRATANTE.
A CONTRATADA deverá manter e tramitar qualquer material coletado garantindo que o acesso a ele seja restrito às partes interessadas e diretamente envolvidas na realização do serviço, demonstrando as práticas para atendimento deste requisito, que deverão ser aprovadas previamente pelo fiscal competente delegado pelo CONTRATANTE.
4.5. De capacidade técnica
A CONTRATADA deverá apresentar atestado técnico que demonstre realização do trabalho requerido, em entidade pública ou privada, com identificação dos seguintes elementos integrantes:
a) O serviço foi realizado para entidade que possuía em sua estrutura administrativa, pelo menos, 35 pessoas;
b) O serviço realizado contemplou atividades de diagnóstico com entrega de relatório-situação de Gap Analysis em âmbito tecnológico e jurídico- administrativo;
c) O serviço realizado contemplou a elaboração de programa de governança de privacidade;
d) O serviço realizado contemplou a elaboração de plano de ação para adequação da entidade à LGPD;
e) O serviço realizado contemplou a elaboração de relatório de impacto à proteção de dados pessoais;
f) O serviço contemplou o mapeamento de, pelo menos, 20 processos com tratamento de dados pessoais;
g) O serviço contemplou treinamento básico aos usuários sobre adequação à LGPD;
h) O serviço contemplou entrega de relatório de conformidade, ou similar, que demonstre a adequação à LGPD.
Todos os atestados deverão demonstrar o nível de satisfação e atendimento dos serviços prestados, contendo data de emissão, contatos e assinatura do fiscal do contrato.
A CONTRATADA deverá ainda apresentar, com documentos hábeis, sua conformidade com a LGPD.
A equipe de gestão da contratação fará o julgamento apropriado para constatação do enquadramento dos atestados em conformidade com tais elementos.
4.6. De sustentabilidade
A coleta de toda e qualquer informação, por parte da CONTRATADA, para a realização dos trabalhos objeto do serviço pretendido, deverá ser realizada sem a produção de material em suporte papel.
A necessidade de reprodução de material em suporte papel, pela CONTRATADA, será feita necessariamente em formato digital, e em conformidade com a PSI.
4.7. Do material de trabalho
A CONTRATADA deverá munir-se de todos os equipamentos e meios necessários para realização dos levantamentos e produção dos entregáveis, sejam equipamentos, tais como computadores, digitalizadores e programas.
Para atividades que a CONTRATADA venha realizar na sede do CONTRATANTE, este fornecerá espaço físico adequado para a execução dos trabalhos operacionais de até duas pessoas, com fornecimento de posto de trabalho composto por mesas e cadeiras, condicionamento de ar, energia elétrica e acesso à internet.
4.8. Da metodologia dos trabalhos a serem executados
O serviço a ser realizado consiste em implementação de adequação do CONTRATANTE à LGPD em conjunto limitado de processos; portanto, configura-se como um projeto. Para o atingimento deste objetivo, é necessária a execução de diversas fases.
O fiscal requerente será o gestor do projeto, na qualidade de facilitador.
O serviço deverá ser realizado pela CONTRATADA por meio de levantamento de informações, empregando para tanto a prática de: reuniões; questionários; entrevistas; treinamentos; levantamento, pesquisas e análises de conteúdo necessário para o atendimento dos objetivos; e elaboração de documentos.
As reuniões serão realizadas, preferencialmente, por vídeo conferência, podendo haver reunião presencial a critério da CONTRATADA.
O custo das reuniões presenciais, deslocamento de pessoal, alimentação e demais despesas será de responsabilidade exclusiva da CONTRATADA. Para cada entregável previsto, haverá prazo, meio de comunicação, entrega e partes envolvidas.
Levantamento, pesquisas e análises de material serão preferencialmente realizados por meio de interação pessoal entre representantes da CONTRATADA e do CONTRATANTE.
As soluções propostas para a realização do objeto deverão respeitar a eficiência da realização das atividades do CONTRATANTE, a experiência dos usuários e a tecnologia disponível.
Plano de ação com indicação de soluções a serem aplicadas deverá ser formulado com a decisão formada entre CONTRATADA e CONTRATANTE, sendo formulado cronograma de trabalho e atualizado periodicamente o relatório do projeto de conformidade em proteção de dados. Essa atualização terá a participação da CONTRATADA, enquanto durar o contrato, cabendo-lhe o papel de verificar e consistir expressamente o nível de atendimento das soluções efetivamente aplicadas com base nas indicadas no cronograma.
O êxito da execução do serviço deve ser verificado tanto pelo fiscal, com aprovação das entregas previstas, quanto pelas pessoas envolvidas em fase específica de execução (vide FASES DE EXECUÇÃO E ENTREGÁVEIS), contribuindo assim para a aquisição da cultura de proteção de dados e a persistência da continuidade da conformidade com a LGPD.
4.9. Da organização
O CONTRATANTE deverá dispor de espaço físico adequado, em sua sede, que comporte todo o corpo funcional para o evento do treinamento previsto neste ETP, compreendendo, mesa, cadeira e iluminação, caso a CONTRATADA opte pela realização do treinamento de forma presencial.
As condições sanitárias estabelecidas pelas autoridades competentes deverão ser observadas e estabelecidas pela área competente do CONTRATANTE, sendo preparadas e
comunicadas previamente aos interessados.
O CONTRATANTE, por meio de delegação dos ordenadores de despesa ao fiscal do contrato, convocará a CONTRATADA e os responsáveis de área, sempre que as reuniões forem necessárias.
Observada a sua PSI, o CONTRATANTE fornecerá todas as informações necessárias e concederá o acesso ao espaço de trabalho do CONTRATANTE para a CONTRATADA realizar suas atividades.
4.10. De tecnologia e de recursos materiais
A adoção de programas de computador especializados para análises e levantamento de informações e de conformidade será uma opção da CONTRATADA, com ônus exclusivo desta.
Os equipamentos empregados pelo CONTRATADA para realização de seus trabalhos serão próprios e a conexão com a rede de computadores do CONTRATANTE submeter-se-á aos procedimentos definidos pela área de informática do CONTRATANTE.
As reuniões virtuais serão realizadas por meio de plataforma que garanta suas gravações.
A CONTRATADA deverá prover meio seguro, avaliado pela área de informática do CONTRATANTE, para tramitação de conteúdo em formato digital entre as partes.
4.11. De recursos humanos necessários à continuidade do negócio (desenvolvimento do projeto e manutenção da conformidade do CONTRATANTE à LGPD)
O CONTRATANTE precisará prover encarregado de dados, conforme prevê a LGPD. Este encarregado deve possuir designação atribuída pela pessoa competente para o exercício de suas atribuições, além de isenção e independência em relação às operações de tratamento de dados pessoais realizadas.
O CONTRATANTE deverá dispor o pessoal que será treinado nas datas estabelecidas em cronograma, bem como os responsáveis de área e subordinados, quando convocados, para interação com a CONTRATADA, nas ações que requeiram demandas de coleta de informações, de esclarecimentos, de demais interações relativas à execução de atividades definidas no escopo do serviço.
4.12. Da qualificação da equipe técnica da CONTRATADA
A equipe técnica contratada deverá ter domínio de conhecimento e experiência nas áreas de comunicação pessoal, consultoria para tratamento de dados pessoais com foco na LGPD, conhecimento especializado em segurança da informação, habilidades técnicas para análise de sistemas digitais de informação, habilidades técnicas para análise e revisão de contratos e convênios, e habilidades para elaboração dos documentos previstos.
4.13. De segurança institucional
Qualquer que seja o conhecimento revelado à CONTRATADA acerca de processos de negócios, estratégias e projetos do CONTRATANTE deverá ser reservado ao escopo do trabalho.
A verificação de violação de tal conhecimento antes de sua publicação pelo CONTRATANTE sujeitará a CONTRATADA a responsabilidade civil, administrativa e penal, nos termos da LGPD e na proporção dos prejuízos que afetarem o CONTRATANTE.
O fiscal do CONTRATANTE poderá requerer a substituição de integrante da equipe da CONTRATADA, caso se constate evento que desabone a sua conduta ou se verifique que não possua a qualificação esperada para a consecução dos trabalhos a ele incumbidos.
4.14. Da gestão documental
O fiscal do contrato deverá ser notificado de toda a informação coletada pela CONTRATADA para fins de anotação apropriada no SEI, devendo ser mantido como conteúdo restrito em caráter permanente.
Toda a comunicação entre CONTRATADA e CONTRATANTE deverá ser registrada pelo fiscal em processo SEI, também classificado como restrito. O fornecimento de informação pelo CONTRATANTE deverá ser efetuado em meio seguro provido pela CONTRATADA.
A revelação de conteúdo, considerado de conhecimento crítico pelo responsável de área, deverá ter ciência prévia do conselheiro responsável pela área.
4.15. De proteção patrimonial
O responsável da CONTRATADA deverá comunicar, ao fiscal do CONTRATANTE, com um dia útil de antecedência da presença de sua equipe à sede do CONTRATANTE, nomes completos e CPF dos seus integrantes.
A equipe da CONTRATADA terá que possuir crachá de identificação corporativo sempre visível e portar documento de identidade para realização de tal atividade.
4.16. De propriedade intelectual
A disponibilidade a terceiros de qualquer resultado ou entregável por parte da CONTRATADA dependerá de autorização prévia do CONTRATANTE. A violação dos direitos de propriedade intelectual do CONTRATANTE sujeitará à CONTRATADA às sanções e penalidades previstas em Lei.
Se a violação ocorrer durante a realização do contrato, este será rescindido unilateralmente pelo CONTRATANTE, sem prejuízo de quaisquer cominações aplicáveis. Todos os participantes de reuniões firmaram termo de cessão de direitos de voz e de imagem ao CONTRATANTE relativas a suas aparições nos respectivos eventos.
4.17. De negócio
4.17.1. Gerais
a) Necessidade do CONTRATANTE estar em conformidade com a Lei vigente que trata sobre proteção de dados pessoais.
b) Patrocínio da instância máxima de decisão do CONTRATANTE para a realização de todas as atividades previstas;
c) Disponibilidade e comprometimento de todo o pessoal necessário do CONTRATANTE para a realização de todas as atividades previstas;
d) Engajamento de todos os conselheiros federais e colaboradores na adequação do CONTRATANTE à LGPD;
e) O CONTRATANTE possui pessoa designada para assunção do papel de encarregado;
f) O CONTRATANTE possui Normas ABNT que tratam de técnicas de segurança da informação a respeito de controle de segurança e de gestão de risco;
g) O CONTRATANTE fará a designação de pessoal competente para monitoramento da adequação do CONTRATANTE à LGPD;
h) O CONTRATANTE deverá estabelecer processo de monitoramento contínuo da adequação do CONTRATANTE à LGPD, após o contrato;
i) Atendimento aos requisitos pretendidos para a realização do objeto, em especial aos requisitos legais definidos.
4.17.2. De competência dos fiscais do contrato.
Os fiscais do contrato devem possuir delegação de competência para interagir com todos os conselheiros e colaboradores, independente de perfil de trabalho, visando à execução do objeto e, em particular, para obter colaboração em prol do sucesso da iniciativa de adequação do CONTRATANTE à LGPD, incluindo participação de todos eles em:
a) Promoção de publicidade e comunicação das ações da LGPD entre os interessados;
b) Identificação e sugestão de ações de proteção de dados;
c) Promoção de cursos sobre o tema de proteção e privacidade de dados, com foco no público interno do CONTRANTATE;
d) Desenho dos processos que vise a garantir a privacidade e proteção de dados nos serviços e rotinas do cotidiano;
e) Análise e ajuste dos instrumentos convocatórios, contratos e normativos visando à adequação à LGPD; e
f) Ajuste dos sistemas e aplicativos visando à adequação à LGPD.
5. DESCRIÇÃO DA SOLUÇÃO COMO UM TODO
5.1. Fases do serviço
5.1.1. ABERTURA
Reunião entre o representante da CONTRATADA, o fiscal do contrato e responsáveis de área do CONTRATANTE, contendo a seguinte pauta:
a) Apresentação do objeto do contrato (fiscal requerente);
b) Apresentação dos fiscais do contrato (fiscal requerente);
c) Apresentação do representante da CONTRATADA (fiscal requerente);
d) Apresentação da CONTRATADA (representante);
e) Apresentação de todos os responsáveis de área (cada um fará sua apresentação);
f) Informação geral das fases do contrato (fiscal e requerente);
g) Relação dos entregáveis previstos (fiscal e representante);
h) Explanação das competências de cada ator apresentado, no contexto de cada atividade prevista no cronograma de execução do serviço (fiscal requerente);
i) Definição da data do workshop (fiscal e representante);
j) Definição dos meios de comunicação e contatos formais das partes para execução do contrato (representante, fiscais e responsáveis de área);
k) Informação dos contatos institucionais de todos os responsáveis de área para marcação de reuniões com representante da CONTRATADA (cada um informará o seu) e dos fiscais do contrato; e
l) Emissão conjunta (CONTRATANTE e CONTRATADA) de diagnóstico de adequação à LGPD, tomando-se por base o documento elaborado como referencial pelo Governo Federal, disponíveis em xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx-xxxxx/.
Esta reunião será realizada, preferencialmente, por vídeo conferência.
5.1.2. TREINAMENTO
Esta fase contemplará as seguintes atividades:
5.1.2.1. Workshop para todos os colaboradores, apresentando, pelo menos:
a) Os objetivos da LGPD;
b) Os seus impactos nas atividades do CONTRATANTE;
c) As hipóteses e as finalidades de tratamento, esclarecidos por exemplos próximos ao contexto dos tratamentos realizados pelo CONTRATANTE;
d) O que são os tipos de tratamento e o que são os agentes de tratamentos;
e) As boas práticas associadas à privacidade e à proteção de dados, tais como privacy by design e privacy by default;
f) Casos de aplicação de privacy by design e privacy by default;
g) Promoção da cultura de proteção de dados em cada um dos participantes, por meio de exemplos;
h) Consequências da não adequação à LGPD e quem são os afetados; e
i) Benefícios da adequação.
O workshop será realizado preferencialmente por videoconferência, em data a ser definida na reunião de abertura. O workshop deve ser apresentado com as boas práticas de comunicação para atração da audiência.
5.1.2.2. Reunião com pessoal de cada unidade da estrutura administrativa
Esta reunião deverá contextualizar a aplicação da LGPD para o grupo de colaboradores de cada unidade, ou seja, de forma setorial. É obrigatória a participação de, pelo menos, o responsável da unidade administrativa (coordenador, chefe ou assessor).
A reunião com cada unidade será realizada, preferencialmente, por vídeo conferência, com data de cada reunião estabelecida pelas partes interessadas, durante a reunião de abertura.
Para atendimento dos objetivos da fase de treinamento, a CONTRATADA deverá, a partir da data de assinatura do contrato, levantar informações mantidos pelo CONTRATANTE, seja por meio de questionário, visitas de acompanhamento de rotina, consulta a conteúdo publicado em mídias sociais e site institucional, a critério da CONTRATADA.
A execução desse levantamento para realização do workshop poderá ser assistida pelo fiscal do CONTRATO, por solicitação da CONTRATADA, como facilitador na comunicação do responsável da CONTRATADA com os responsáveis de área e como guia para circulação da equipe da CONTRATADA nas dependências do CONTRATANTE.
O responsável de área exercerá o papel de facilitador e guia quando da realização da reunião com sua respectiva área.
5.1.2.3. Endomarketing
A CONTRATADA proporá ao CONTRATANTE a publicação de conteúdos atraentes tais como banners, pôsteres, vídeos alusivos à LGPD, sendo a confecção de tais conteúdos de responsabilidade do CONTRATANTE.
Essa atividade ocorrerá desde a fase de planejamento até a de monitoramento, previstas para a solução proposta. Entregáveis da fase de treinamento:
a) Do workshop: Lista de presença dos participantes do workshop; Ata do evento; e Relatório do projeto de conformidade (inicial).
b) Da reunião com pessoal de cada área: Lista de presença dos participantes do workshop; Ata da reunião; e Relatório do projeto de conformidade (atualização).
O relatório do projeto de conformidade é um entregável que será atualizado com a finalização de cada atividade concluída, qualquer que seja a fase. Nele se registram todas as atividades realizadas, com data e objetivos alcançados, bem como as decisões tomadas, com identificação de seus tomadores, a fim de se manter o CONTRATANTE instruído da realização do contrato, por parte da CONTRATADA.
Este documento também deve conter a projeção da execução das próximas atividades, sendo um documento de ponto de controle, de prestação de contas quanto ao estágio corrente do CONTRATANTE em relação à adequação à LGPD.
5.1.3. LEVANTAMENTO DE PROCESSOS
A CONTRATADA fará levantamento dos processos que tratam dados de pessoas naturais, nas áreas de negócio do CONTRATANTE.
Esse levantamento será apenas preliminar para que os responsáveis de área definam em conjunto com o fiscal do contrato, como facilitador, e a CONTRATADA, quais serão os processos prioritários a serem submetidos ao mapeamento de dados (atividade de assessoria).
O critério de definição da prioridade de um processo deverá se pautar, mas não somente, por: quantidade de dados pessoais tratados; existência de dados sensíveis no tratamento; haver participação de operadores externos no fluxo de tratamento de dados; CONTRATANTE assumir papel de operador de dados controlados por terceiro; haver forte indício de o consentimento ser a base legal para o tratamento; participação de usuários de mais de 2 (duas) áreas distintas no tratamento dos dados. A seleção dos processos deverá ser isônoma, ou seja, o critério deverá ser o mesmo para todos eles.
A seleção deverá relacionar 25 (vinte e cinco) processos prioritários para o mapeamento citado.
Caso todo o levantamento contenha menos que a quantidade citada, todos os processos integrarão a fase de mapeamento de dados que o segue. Caso haja mais processos, os 10 (dez) processos seguintes, na ordem de prioridade, comporão o conjunto de processos que serão mapeados pelo CONTRATANTE, com consultoria da CONTRATADA (ver IMPLEMENTAÇÃO/ Consultoria para adequação de processos).
As relações dos processos que serão mapeados pela CONTRATADA e dos que serão mapeados pelo CONTRATANTE, durante a realização desse contrato, deverão ser documentadas ao fim desse levantamento, assinadas pelas partes envolvidas na seleção.
5.1.4. MAPEAMENTO DE DADOS
Diversos processos do CONTRATANTE tratam dados de pessoas naturais. Este tratamento é objeto de interesse da LGPD e o mapeamento desses dados visa a identificar o grau de aderência dos processos que os tratam em relação às exigências daquela Lei. Consequentemente, este nível de conformidade aponta para o grau de conformidade do CONTRATANTE com a referida Norma.
O mapeamento de dados de pessoas naturais será realizado pela CONTRATADA, considerados os processos selecionados na fase de levantamento. Esta fase contemplará a seguinte atividade, para cada processo selecionado:
5.1.4.1. Documentação do inventário de dados de pessoas naturais, contemplando:
a) Identificação da área responsável pelo processo;
b) Relação de dados tratados;
c) Fluxo atual de cada dado;
d) Tratamentos realizados em cada dado, com a identificação de cada pessoa que a realiza. Todas as pessoas que realizam tratamento devem ser identificadas, sejam da área responsável pelo processo, ou não; sejam da estrutura do CONTRATANTE, ou não;
e) Identificação de compartilhamentos, incluindo destino e fundamentação;
f) Análise de risco ou constatação de ocorrência de engenharia social no contexto dos dados do processo, mantidos em formato digital ou em suporte papel;
g) Identificação e análise de contratos, convênios e outros acordos firmados com terceiros que impliquem relação de controle ou de operação sobre dados de pessoas naturais;
h) Verificação de existência de transferência internacional, inclusive armazenamento;
i) Nível de segurança aplicada para cada tratamento, seja em dado mantido em formato digital, seja em suporte papel;
j) Existência de tratamento de descarte, com evidência de prazo e forma de realização;
k) Análise crítica da necessidade do tratamento de cada dado pessoal identificado;
l) Verificação de pertinência de aplicação de técnicas de anonimização dos dados;
m) Identificação ou atribuição da finalidade de tratamento dos dados pessoais identificados;
n) Levantamento de existência de base legal que justifique o tratamento, dado a dado identificado;
o) Definição da hipótese legal de tratamento; e
p) Identificação do controlador e dos operadores.
O mapeamento poderá ser realizado por meio de recursos de coleta de informações, tais como: utilização de software especializado, solicitação de preenchimento de planilhas, questionários, perguntas pontuais, e aplicação de entrevistas com pessoas envolvidas no processo. As coletas podem ser feitas de forma presencial ou virtual; e o emprego de um recurso não descarta o de qualquer outro.
Os custos relacionados a quaisquer recursos empregados para a elaboração desta documentação serão de inteira responsabilidade da CONTRATADA e comporá o valor do serviço.
O responsável de área do processo que for mapeado deverá atender às solicitações da CONTRATADA, respeitada a PSI do CONTRATANTE, para que a atividade de mapeamento seja realizada. O responsável de área agirá também como facilitador do processo de mapeamento, tomando as medidas administrativas cabíveis para requerer o apoio de subordinado, ou de autorização de superior, quando necessário.
Os entregáveis dessa fase estão previstos no cronograma.
5.1.5. GAP ANALYSIS
Durante a execução do mapeamento de dados, a CONTRATADA efetuará análises e entregará relatório com informações necessárias para a tomada de decisão do CONTRATANTE.
As atividades previstas para a realização do serviço de adequação, nesta fase, são:
5.1.5.1. Levantamento de não conformidades com a LGPD e indicação de soluções candidatas
Nessa atividade, a CONTRATADA, deve relacionar os problemas identificados, nos processos selecionados pelos responsáveis de área e, consequentemente, o grau de não conformidade do CONTRATANTE em relação à LGPD.
O responsável de área assumirá o papel de comunicar para a equipe da CONTRATADA quais dados tratados no processo possuem maior valor e relevância para o CONTRATANTE quanto à prioridade de segurança, sejam armazenados digitalmente ou em suporte papel.
Dentre os problemas que devem ser evidenciados, em cada processo selecionado, citam-se:
a) Falta de base legal para tratamento de dado, especialmente para coleta;
b) Dados tratados sem finalidade definida;
c) Ausência ou precariedade de registro de competência e responsabilidade para colaboradores em relação a tratamento de dados;
d) Fragilidade ou falta de documento hábil que atribua competência clara a agentes de tratamento – controlador ou operador;
e) Falta de atribuição de responsabilidades explícitas, sejam administrativas ou técnicas, em contratos, convênios e em documentos similares em situações de compartilhamento de dados;
f) Falta de atendimento a norma estrangeira equivalente à LGPD, no caso de transferência internacional de dados;
g) Não adequação à LGPD, por parte de terceiros, na qualidade de operador de dados cujo controlador seja o CONTRATANTE;
h) Inexistência de descarte de dado, quando existe prazo legal de vigência para a sua guarda;
i) Lacunas de segurança no tratamento de dado (meio de armazenamento, meio de transporte, disponibilidade, competência para tratamento, mecanismo de segurança, orientação, dentre outros), seja em suporte digital ou em papel;
j) Reversibilidade de anonimização; e
k) Nível de risco a violação de dados pessoais.
5.1.5.2. Proposição de soluções
Nessa atividade, a CONTRATADA, registrará as soluções que promovam a preservação da imagem institucional contra violação de dados de pessoas naturais. Deve-se observar, na proposição das soluções, o ciclo de vida da informação, dos serviços que a mantêm e dos ativos que suportam tais serviços.
Deve conter, conforme gap identificado, proposição de adoção de medidas técnicas e administrativas que aumentem o nível de segurança do tratamento de dados pessoais e proposição de adoção de medidas técnicas e administrativas que comporão o Programa de Governança de Privacidade (PGP) do CONTRATANTE, incluindo:
a) Proposição de definição de bases legais;
b) Recomendação de descartes de dados tratados sem finalidade e sem base legal definidas;
c) Recomendação de elaboração ou de reformulação de código de conduta dos empregados;
d) Recomendação de cláusulas, em contratos, convênios ou similares, que identifiquem os agentes de tratamento e suas responsabilidades;
e) Proposição de reformulação dos processos mapeados;
f) Proposição de revisão da PSI, bem como de normas e de procedimentos relacionados à segurança da informação;
g) Proposição de relatório de impacto à proteção de dados pessoais (RIPD), contendo procedimentos de privacidade, de gestão de risco e de gestão de crise para o processo de gestão de dados pessoais;
h) Proposição de modelo de notificação a terceiros com quem o CONTRATANTE compartilha dados quanto à necessidade de adequação à LGPD;
i) Proposição de configuração do ambiente operacional para aumentar a segurança de cada processo mapeado;
j) Proposição de controles e de recursos tecnológicos para redução dos riscos de violação de dados (a proposição deve ser agnóstica a soluções específicas);
k) Proposição de modelo de plano de recuperação de desastres e de plano de resposta a incidentes, incluindo ANPD e titulares, como partes interessadas;
l) Proposição de modelo de política de retenção e de descarte de dados, conforme legislação, classificação da informação e boas práticas de segurança da informação;
m) Proposição de modelo de política de transferência internacional de dados, se for o caso;
n) Identificação dos direitos efetivos dos titulares, quando o CONTRATANTE for controlador, para cada processo mapeado, e definição do procedimento de interação com os titulares para atendimento desses direitos;
o) Identificação das responsabilidades do CONTRATANTE, quando for operador de dados, e definição do procedimento de interação com os controladores para atendimento dessas responsabilidades;
p) Proposição de processo de solicitação de consentimento, se ocorrer tal hipótese de realização de tratamento;
q) Proposição de procedimentos e programas para monitoramento de recursos tecnológicos que podem comprometer dados pessoais;
r) Proposição de tratamento de ambiente de desenvolvimento de software (teste e homologação);
s) Proposição de procedimento de gestão de mudança de ativos, em especial os que guardam dados pessoais;
t) Proposição de práticas, de processos e de mecanismos de privacidade, necessários para adoção de novos sistemas e serviços de informação que tratam dados pessoais;
u) Levantamento das classificações das informações contidas nos processos mapeados;
v) Proposição de mecanismos de prevenção contra violação;
w) Análise e revisão dos procedimentos de tratamento de colaboradores (admissão; provisionamento de recursos e acessos, demissão e desprovimento de recursos e acessos);
x) Proposição de plano continuado de avaliação do nível de conformidade interno, dos fornecedores e terceiros com quem compartilha dados pessoais;
y) Proposição de ferramenta para gestão de consentimento de cookies e formulários;
z) Proposição de termos de uso de serviços relacionados aos processos mapeados; e
aa) Proposição de políticas de privacidade de serviços relacionados aos processos mapeados.
5.1.5.3. Triagem das soluções propostas
Nesta atividade, CONTRATADA e CONTRATANTE discutem o relatório das soluções propostas, com registro das seguintes decisões:
a) Análise crítica das soluções propostas;
b) Encaminhamento para decisão superior, quando a solução o requerer;
c) Identificação das soluções que serão implementadas;
d) Justificativas para não adoção imediata de determinadas soluções, seja por descarte ou por adiamento da proposta; e
e) Estruturação do Programa de Governança de Privacidade do CONTRATANTE, com base nas soluções propostas que serão implementadas.
Com a triagem concluída, a CONTRATADA elaborará relatório de soluções não aprovadas, indicando como não escopo estabelecido pelo CONTRATANTE, bem como as justificativas para tanto.
O CONTRATANTE usará como base de avaliação dos artefatos propostos os documentos elaborados como referenciais pelo Governo Federal, disponíveis em xxxxx://xxx.xxx.xx/xxxxxxxxxxxxxx/xx-xx/xxxxxxxxx-x-xxxxxxxx-xx-xxxxx/.
5.1.5.4. Entrega de relatório de impacto
Identificado o enquadramento em algum caso previsto na LGPD, a CONTRATADA deverá elaborar relatório de impacto. Caso a CONTRATADA não constate a necessidade de sua confecção, deverá emitir documento que justifique o fato.
5.1.6. PLANEJAMENTO
O planejamento é a fase em que o relatório de soluções propostas e o relatório de impacto, se houver, aprovados pelo CONTRATANTE são utilizados para definição das ações que serão realizadas para atingimento da adequação à LGPD.
O plano de ação será elaborado pela CONTRATADA, pelo fiscal do CONTRATO, como facilitador, pelos responsáveis de área, e pelos integrantes da Comissão Especial de Segurança da Informação do CONTRATANTE. Esse plano constará do relatório do projeto de conformidade. Poderão participar, sob convocação dos responsáveis das áreas, seus subordinados.
A concepção do planejamento deverá observar a definição do grau de prioridade das soluções (alta, média ou baixa), identificadas possíveis interdependências entre elas e os recursos disponíveis para sua realização.
O plano de ação contemplará:
a) Relação das soluções que serão implementadas, por grau de prioridade e dependência;
b) Matriz de responsabilidade das soluções;
c) Cronograma de execução; e
d) Pontos de controle de cada implementação proposta.
5.1.7. IMPLEMENTAÇÃO
As atividades previstas para a realização do serviço de adequação, nesta fase, são:
5.1.7.1. Implementação das soluções previstas conforme definido no plano de ação
A CONTRATADA notificará o CONTRATANTE sempre que observar que algum ponto de controle não tenha sido atingido no prazo proposto e juntos darão o tratamento necessário para saneamento do impedimento verificado.
Concluída a implementação de uma solução, a CONTRATADA atualizará o relatório do projeto de conformidade.
Ainda que alguma solução não tenha sido completamente implementada, no estágio em que se encontrar, a fase de implementação pode ser encerrada, em uma das seguintes hipóteses:
a) Se a solução em questão possuir dependência de recursos indisponíveis por prazo superior a 30 dias da data prevista para sua conclusão e o CONTRATANTE aceitar a sua implementação parcial; ou
b) Se o prazo dessa dependência superar 60 dias da data prevista para sua conclusão, independente de aceite do CONTRATANTE.
Em qualquer das hipóteses, a CONTRATADA manterá o compromisso de analisar a implementação na fase de monitoramento, mantendo registro atualizado, no final do contrato dos entregáveis previstos.
5.1.7.2. Consultoria para adequação de processos
A consultoria terá como função avaliar a execução da adequação desses processos, apontando omissões e ajustes, sendo competência dos respectivos responsáveis de área a aplicação dos conhecimentos adquiridos quanto à adequação à LGPD, até a fase de implementação.
Esta atividade promoverá a consolidação da cultura de proteção de dados.
A adequação desses processos inclui sua inserção ao PGP, bem com a atualização dos termos de uso e de políticas de privacidade correspondentes e demais documentos acessórios. A consultoria deverá validar o ajuste desses artefatos.
A consultoria deverá ainda orientar a CONTRATADA a realizar ou requerer de pessoa qualificada as análises de medidas administrativas e de medidas técnicas para saneamento de pontos que concorram para a violação de dados pessoais sujeitos a tratamento nos fluxos dos processos.
A consultoria será realizada por meio de ordem de serviço à CONTRATADA, formulada pelo fiscal do contrato, mediante solicitação do responsável de área. A carga de trabalho para realização de consultoria, para todos os processos, será de até 80 horas úteis.
A CONTRATADA deverá apresentar para o fiscal a quantidade de horas necessárias para a execução da ordem de serviço, que será aprovado pelo fiscal e pelo responsável de área do processo alvo da consultoria. Uma vez aprovada, a CONTRATADA realizará o serviço e o apresentará para o responsável de área que aprovará a entrega. Aprovada a execução, a CONTRATADA atualizará o relatório do projeto de conformidade e o encaminhará ao fiscal, bem como a aprovação do responsável da área da entrega.
O fiscal manterá o registro do consumo de horas remanescentes e gerenciará as demais demandas de consultoria.
A quantidade de processos sujeitos a esta atividade será limitada a 10 (dez), dentre os processos remanescentes identificados na fase de levantamento.
5.1.8. MONITORAMENTO
Esta fase consolida a aquisição de cultura de proteção de dados pelo CONTRATANTE. As atividades previstas para a realização do serviço de adequação, nesta fase, são:
5.1.8.1. Validação das soluções implementadas
Essa validação visa a verificar a aplicação efetiva das soluções aprovadas.
O relatório do projeto de conformidade deve conter os registros de soluções aplicadas e as pendências de aplicação de solução, com suas justificativas e contingências até resolução final.
Quanto a registro de pendências de aplicação de solução, somente as causadas pelo CONTRATANTE serão aceitáveis nessa atividade.
Esse relatório do projeto de conformidade em proteção de dados conterá a história da evolução do projeto de adequação, contendo na sua versão final notas específicas sobre a visão da CONTRATADA em relação ao nível de aquisição da cultura de proteção de dados pelos responsáveis de área e seus subordinados, por meio de avaliação de domínio de conhecimento aplicado aos processos mapeados.
Outro entregável dessa atividade é o inventário de dados atualizado dos processos selecionados e adequados à LGPD.
5.1.8.2. Revisão do Gap Analysis
Com a aplicação das soluções, a CONTRATADA emitirá novo relatório de gap, conforme estrutura proposta para esse tipo de documento.
Caso tenha sido elaborado relatório de impacto prévio, novo relatório deverá ser elaborado pela CONTRATADA, consideradas as soluções aplicadas.
5.1.8.3. Divulgação do PGP, dos termos de uso e das políticas de privacidade de serviços relacionados de todos os processos mapeados A CONTRATADA verificará a divulgação dos artefatos citados, homologando seus conteúdos e adequação de sua disponibilidade ao público.
5.2. FASES DE EXECUÇÃO E ENTREGÁVEIS
Fase | Atividade | Envolvidos | Entregável |
Abertura | Reunião Preferencialmente virtual | Equipe da CONTRATADA, responsáveis de área, fiscais do contrato e representante da Comissão especial de segurança da informação | Lista de presença |
Ata da reunião | |||
Relatório de conformidade | |||
Treinamento | Workshop Preferencialmente virtual | Equipe da CONTRATADA e todos os colaboradores | Lista de presença |
Ata da reunião | |||
Relatório de conformidade | |||
Reunião com cada área (Preferencialmente virtual, a combinar com os envolvidos) – reuniões com até 11 áreas | Equipe da CONTRATADA, responsável da área (necessariamente), colaboradores da área (convocados pelo responsável da área) e representante da Comissão especial de segurança da informação | Lista de presença | |
Ata da reunião | |||
Relatório de conformidade | |||
Levantamento | Levantamento preliminar de processos | Equipe da CONTRATADA (assessoria), responsáveis das áreas, fiscal do contrato (facilitador) | Relação dos processos que serão submetidos ao mapeamento. Relação dos processos que serão mapeados na atividade Consultoria para adequação de processos |
Mapeamento | Documentação do inventário de dados | Equipe da CONTRATADA (assessoria), responsável da área de cada processo selecionado (aprendizagem) | Inventário de dados (estado atual) |
Gap analysis (GA) | Levantamento de não conformidades com a LGPD | Equipe da CONTRATADA | Relatório Gap Analysis versão 1 |
Proposição de soluções | Equipe da CONTRATADA | Relatório com soluções propostas | |
Triagem das soluções | Fiscal (como facilitador), equipe da CONTRATADA (como consultoria), responsável de área e subordinados, e membro da Comissão especial de segurança da informação | Relatório com soluções aprovadas PGP | |
Entrega de relatório de impacto[1] | Equipe da CONTRATADA | Relatório de impacto | |
Planejamento | Elaboração do plano de ação | Equipe da CONTRATADA, fiscal (facilitador) e responsáveis de área e membro da Comissão especial de segurança da informação | Plano de ação (PA) |
Implementação | Execução das atividades do PA | Atores definidos no PA | Entregáveis definidos no PA |
Consultoria para adequação de processos | Equipe da CONTRATADA | Relatório de conformidade | |
Monitoramento | Validação das soluções implementadas e revisão do gap analysis | Equipe da CONTRATADA | Inventário de dados (atualizado) |
Relatório de gap analysis - Versão final | |||
Relatório de impacto (Idem 1) - Versão final | |||
Relatório de conformidade - Versão final* |
[1]Se não houver necessidade de elaboração de relatório de impacto, a CONTRATADA fornecerá ao CONTRATANTE, documento com justificativa da não confecção de relatório de impacto.
5.3. CRONOGRAMA ESTIMADO
Fase | Mês 01 | Mês 02 | Mês 03 | Mês 04 | Mês 05 | Mês 06 | Mês 07 | Mês 08 | Mês 09 | Mês 10 | Mês 11 | Mês 12 |
Abertura | X | |||||||||||
Treinamento | X | |||||||||||
Mapeamento | X | X | X | X | X | X | ||||||
Gap analysis (GA) | X | X | ||||||||||
Planejamento | X | X | ||||||||||
Implementação | X | X | X | X | ||||||||
Monitoramento | X | X | X | X | X |
Este cronograma pode ser ajustado com a concordância entre as partes contratadas.
5.4. O objeto não contempla como obrigação da CONTRATADA:
a) Indicação de pessoa para a função de encarregado;
b) Capacitação de encarregado;
c) Proposição de perfil de pessoa ou de qualificação requerida para assunção desse papel;
d) Proposição de estrutura de comissão de privacidade e proteção de dados pessoais;
e) Implantação de estrutura organizacional e funcional do CONTRATANTE para atendimento das medidas mínimas necessárias para a adequação à LGPD
f) Definição de normas relacionadas a técnicas de segurança visando a adequação à LGPD;
g) Preparação de pessoal do CONTRATANTE para aplicação de metodologia de monitoramento contínuo da adequação à LGPD;
h) Gestão do programa de governança de privacidade implementado; e
i) Suporte posterior à realização do serviço.
6. ESTIMATIVA DAS QUANTIDADES PARA A CONTRATAÇÃO
O serviço consiste em atividade que visa fornecimento de vários entregáveis detalhados acima no item 5 DESCRIÇÃO DA SOLUÇÃO COMO UM TODO.
7. LEVANTAMENTO DE MERCADO
A análise comparativa de soluções, nos termos do inc. II do art. 11 da IN-094/2022/SGD, visa a elencar as alternativas de atendimento à demanda, considerando, além do aspecto econômico, os aspectos qualitativos em termos de benefícios para o alcance dos objetivos da contratação.
7.1. Disponibilidade de solução similar em outro órgão ou entidade da Administração Pública.
PREFEITURA MUNICIPAL DE NOSSA SENHORA DO LIVRAMENTO | |
Descrição do objeto contratado | CONTRATAÇÃO EMERGENCIAL DE SERVIÇO DE ATIVIDADE AUXILIAR - CONSULTORIA ESPECIALIZADA PARA ADEQUAÇÃO A LEI GERAL DE PROTEÇÃO DE DADOS PESSOAIS (LGPD) da prefeitura municipal de Nossa Senhora do Livramento - MT |
Valor da contratação | R$ 48.000,00 (quarenta e oito mil reais) |
Processo licitatório | xxxxx://xxxxxxx.xxx.xx.xxx.xx//xxxxxxxxx/xxxxxxx/xxxxxx/000000000000000/xxx_xxxxxx/0000000/xxxxxxxxx/0000/xxxxxxxx/0/xxxxxxxxxx/00/xxxx/00-00- 2023 |
Data da homologação | 14/2/2022 |
Valor estimado | R$ -- |
Conselho Federal de Nutricionistas 4ª região
Descrição do objeto contratado | Contratação de consultoria especializada no levantamento de processos e sistemas que tratam dados pessoais visando à construção de programa de conformidade à lei Geral de Proteção de Dados - LGPD, contemplando o monitoramento do plano de ação, bem como a implementação do mesmo, obedecendo ao cronograma de execução a ser desenvolvido pela empresa contratada para a implementação/execução da LGPD para todos os setores do CRN4 |
Valor da contratação | R$ 28.499,00 (vinte e oito mil quatrocentos e noventa e nove reais) |
Processo licitatório | UASG: 389220 NºPregão: 162022 xxxx://xxx.xxxxxxxxxx.xxx.xx/xxxxx/xxxxxx/xxxxxxxx.xxx?xxxxxxx0000000 |
Data da homologação | 06/2/2023 |
Valor máximo aceitável | R$ 44.950,00 (quarenta e quatro mil novecentos e cinquenta reais) |
Conselho Regional de Medicina Veterinária de Santa Catarina | |
Descrição do objeto contratado | Contratação de consultoria especializada para adequação à Lei Federal nº 13.709/2018 - Lei Geral de Proteção de Dados (LGPD), conforme especificado no Termo de Referência - Anexo I do Edital. |
Valor da contratação | R$ 17.950,00 (dezessete mil novecentos e cinquenta reais) |
Processo licitatório | UASG: 389187 NºPregão: 62022 xxxx://xxx.xxxxxxxxxx.xxx.xx/xxxxx/xxxxxx/xxxxxxxx.xxx?xxxxxxx0000000 |
Data da homologação | 24/10/2022 |
Valor máximo aceitável | R$ 30.000,00 (trinta mil reais) |
Governo do Rio Grande do Norte | |
Descrição do objeto contratado | Contratação de empresa especializada para a prestação de serviços de consultoria para adequação da CAERN, à Lei Geral de Proteção de Dados - LGPD, conf Licitação nº 10187/2022. |
Valor da contratação | R$ 94.793,97 (noventa e quatro mil setecentos e noventa e três reais e noventa e sete centavos) |
Processo licitatório | UASG: 925777 NºPregão: 762022 xxxx://xxxxxxxxxx.xxx.xx/xxxxx/xxxxxx/XxxXxxxxxxxxx.xxxxx_xx_xxxxx000000&&xxxxx000000&xxxxxxx000000&xxxxxxXxxxxxxxxxx0&Xxxx0&x_xxxXxxx&x_ 925777&f_codMod=5&f_tpPregao=E&f_lstICMS=&f_dtAberturaIni=&f_dtAberturaFim= |
Data da homologação | 10/08/2022 |
Valor máximo aceitável | R$ 620.430,00 (seiscentos e vinte mil quatrocentos e trinta reais) |
Informações obtidas através de Relatório Cotação Adequação LGPD (SEI nº 2070672)
7.2. As alternativas de mercado
Valores de fornecedores alcançados a partir do levantamento de mercado realizado. Não existe pela natureza especifica do objeto alternativa de mercado para o serviço.
7.3. Pesquisa de mercado (PM)
Propostas de adequação à LGPD
Empresa | Valor da proposta (R$) |
A | 391.300,00 |
B | 259.200,00 |
C | 200.00,00 |
D | 191.950,00 |
E | 177.000,00 |
F | 130.620,00 |
G | 82.800,00 |
H | 78.000,00 |
8. ESTIMATIVA DO VALOR DA CONTRATAÇÃO
Com base no levantamento feito das propostas de fornecedores para o CFA, o valor estimado da contratação foi calculado com base no valor médio das propostas da tabela Propostas de adequação à LGPD.
Para fins de definição da média dos valores apresentados, a proposta da empresa A, B, G e H foram removidas por terem sido consideradas como valor discrepante no conjunto apresentado.
A média dos valores, consideradas as propostas das empresas C, D, E e F indica que o valor médio da contratação para o objeto pretendido, seria de R$ 174.892,50 (cento e setenta e quatro mil oitocentos e noventa e dois reais e cinquenta centavos).
8.1. Justificativa da solução escolhida
Embora tenhamos acesso a valores obtidos de contratação para adequação à Lei Geral de Proteção de Dados LGPD, no item 7.1 Disponibilidade de solução similar em outro órgão ou entidade da Administração Pública destacamos que cada instituição possui características e processos únicos, o que torna a sua conformidade com a LGPD uma questão singular. Cada órgão precisa analisar suas próprias particularidades, volume de dados, sistemas utilizados, e a natureza das informações que manipulam. Portanto, considerar os valores obtidos em outros contextos não reflete as necessidades e exigências específicas do CFA em relação à LGPD.
Sendo assim, foram feitas pesquisas de mercado através de diferentes fornecedores para atender às necessidades específicas do Conselho Federal de Administração para estimativa do custo da contratação.
9. JUSTIFICATIVA PARA O PARCELAMENTO OU NÃO DA CONTRATAÇÃO
A contratação será realizada de forma única e indivisível, por se tratar de serviço único, sendo inviável a contratação de mais de um fornecedor, não havendo, portanto, parcelamento da solução.
10. POSICIONAMENTO CONCLUSIVO DA EQUIPE DE PLANEJAMENTO DA CONTRATAÇÃO
Tendo em vista que a estimativa do valor da contratação está dentro da faixa de valor orçada para o objeto, declaramos que a viabilidade da execução do serviço, atingindo os benefícios previstos na DESCRIÇÃO DA NECESSIDADE DA CONTRATAÇÃO.
Considerando a necessidade do CONTRATANTE estar em conformidade legal com a LGPD, a contratação é imperiosa. Por outro lado, o escopo do objeto foi elaborado para que o custo da contratação estivesse adequado ao orçamento previsto para o exercício de 2023.
Assim, sendo o valor estimado próximo ao limite da dotação orçamentária prevista para a contratação do objeto (Solicitação de Compras/Serviços 127 Adequação LGPD (SEI nº 2045005)), recomendamos que a contratação seja realizada por meio de de licitação, na forma eletrônica, conforme Lei 14.133/2021, Arts. 28 e 29.
Em cumprimento ao disposto na IN 05/2017/SEGES/MPDG, Art. 23, o presente documento segue assinado pelos Integrantes Requisitante e Técnico da Equipe de Planejamento da Contratação, designada pelo Ofício 1851 Equipe do planejamento da contratação (SEI nº 2045149), e pela autoridade máxima da área de TIC.
Integrante Técnico: Xxxxxxx Xxxxxx Xxxxxx Xxxxx Integrante Técnico Substituto: Xxxxxxx Xxxxxx xx Xxxxx Xxxxxx
Integrante requisitante: Xxxx Xxxxxx xx Xxxxxx Xxxxxxxx Integrante Administrativo: Xxxxxxx Xxxxxxxx Xxxxxx xx Xxxxx Diretor Administrativo e Financeiro: Xxxxxxxxx Xxxxxxx Xxxxx
Documento assinado eletronicamente por Xxxx Xxxxxx xx Xxxxxx Xxxxxxxx , Coordenador(a) de Informática, em 21/07/2023, às 17:15, conforme horário oficial de Brasília.
Documento assinado eletronicamente por Xxxxxxx Xxxxxx Xxxxxx Xxxxx , Assessor(a) de Tecnologia da Informação , em 21/07/2023, às 17:15, conforme horário oficial de Brasília.
Documento assinado eletronicamente por Xxxxxxx Xxxxxx xx Xxxxx Xxxxxx , Analista de Sistemas, em 21/07/2023, às 17:15, conforme horário oficial de Brasília.
Documento assinado eletronicamente por Xxxxxxx Xxxxxxxx Xxxxxx xx Xxxxx , Chefe de Apoio Administrativo , em 21/07/2023, às 17:17, conforme horário oficial de Brasília.
Documento assinado eletronicamente por Adm. Xxxxxxxxx Xxxxxxx Xxxxx, Diretor(a), em 24/07/2023, às 13:02, conforme horário oficial de Brasília.
A autenticidade deste documento pode ser conferida no site xxx.xxx.xxx.xx/xxxxxxxx, informando o código verificador 2070601 e o código CRC FEAAD3E9.