DOCUMENTO DE FORMALIZAÇÃO DA DEMANDA

Referência: Decreto nº 10.947, de 25 de janeiro de 2022.

Informações gerais

Justificativa de necessidade

A ANAC contratou em 2023 licenças do software Oracle Advanced Security para implementar a criptografia de dados em repouso nos bancos de dados Oracle que atende a diversos sistemas de informação da ANAC. Contrato nº 30/ANAC/2023 (SEI nº 9176388). A criptografia de dados em repouso no Sistema de Gerenciamento de Banco de Dados (SGBD) é uma importante medida de segurança da informação para minimizar o risco de roubo ou vazamento de dados. Com a promulgação da Lei nº 13.709/2018 - Lei Geral de Proteção de Dados Pessoais (LGPD) esta medida tornou-se ainda mais importante.

A ANAC possui aproximadamente 75 servidores de rede que atendem à infraestrutura de banco de dados estruturados, entre eles na tecnologia SQL Server, Oracle, PostgreSQL e MySQL, que totalizam aproximadamente 75 TB (Terabytes) de dados armazenados. Desse último montante, aproximadamente 14% estão armazenados na tecnologia Oracle. Como exemplo, destaca-se o projeto de bases de dados integradas, denominado Santos Dumont (https://santosdumont.anac.gov.br) que, conforme plano tático da STD, deverá suportar cada vez mais novos sistemas e, consequentemente, armazenar dados importantes de processos finalísticos da Agência, entre outros. Ainda nesta esteira, recentemente, a ANAC contratou a solução IBM OpenPages para apoiar o processo de negócio de Fiscalização Integrada, a qual também foi implementada na tecnologia Oracle.

Em razão do modelo de comercialização das soluções software da empresa Oracle, a primeira aquisição é normalmente feita por Pregão Eletrônico com participação de revendedores autorizados. Estes contratos são firmados pelo período de 12 meses, sem possibilidade de renovação. Para continuar a ter o direito de atualização de software e acesso ao suporte técnico especializado do fabricante, a Oracle, é necessária a contratação da extensão do licenciamento, que por regras comerciais do fabricante é feito diretamente com ele, situação em que se aplica a inexigibilidade da licitação, ou do pregão eletrônico.

Ainda assim, nos termos da Instrução Normativa SGD/ME nº 94/2022, é necessário a elaboração dos artefatos de contratação, em especial o Estudo Técnico Preliminar, o Mapa de Gerenciamento de Riscos e o Termo de Referência ou Projeto Básico. Considerando que a ANAC já tem outro contrato de licenciamento de software com a Oracle, estabelecido na modalidade de inexigibilidade, é oportuno avaliar a possibilidade de unificação dos contratos.

JUSTIFICATIVA EM CASO DE DEMANDA INTEMPESTIVA

Não se aplica.

MATERIAIS/SERVIÇOS

Materiais

Serviços

CONTRATAÇÕES RELACIONADAS

Não se aplica.

INDICAÇÃO DE INTEGRANTE REQUISITANTE PARA EQUIPE DE PLANEJAMENTO

ALINHAMENTO DA NECESSIDADE AO PDTIC

DADOS PESSOAIS

A solução de sistema de gerenciamento de banco de dados (SGBD) ao qual a solução de criptografia de dados em repouso está relacionada efetivamente é um dos principais repositórios de dados da ANAC. Diversas categorias de dados, inclusive dados pessoais, dados de processos de negócio finalistísticos, dados administrativos, entre outros, são armazenados em soluções de SGBD. Contudo, classificada como solução de armazenamento de dados de proposito amplo, não é prático a identificação de casos específicos de tratamento de dados pessoais, devendo este ser feito no escopo de arquitetura e projeto de cada solução digital, inclusive com a definição de medidas de proteção e segurança de dados adequadas a cada caso.

Ressalta-se que a contratação da solução em tela tem o principal objetivo de prover uma camada adicional de proteção aos dados pessoais.

- Quais serão os dados pessoais tratados?

São diversos dados armazenados que suportam diversas sistemas. Entre eles estão, Nome, CPF, e-mail, endereço, dados médicos, registros profissionais, entre outros.

- Serão tratados dados pessoais sensíveis? Se sim, quais?

Os dados são tratados no escopo de cada solução digital. A solução a ser contratada não implica no tratamento de novos dados pessoais, mas sim na manutenção de proteção de dados para os dados atualmente já custodiados pela ANAC.

- Como serão utilizados esses dados pessoais (qual a finalidade específica do tratamento)?

Conforme o escopo de cada solução digital. A solução a ser contratada não implica no tratamento de novos dados pessoais, mas sim na manutenção de proteção de dados para os dados atualmente já custodiados pela ANAC.

Alguns exemplos incluem: RABDigital, CHTDigital, SMA, SMI, ANAC+.

- Qual a base legal que fundamenta as atividades de tratamento (lei, norma, etc.)?

Conforme o escopo de cada solução digital. A solução a ser contratada não implica no tratamento de novos dados pessoais, mas sim na manutenção de proteção de dados para os dados atualmente já custodiados pela ANAC.

ORIENTAÇÕES:
<Registrar nesse campo se haverá, ao longo da execução do contrato, o tratamento de dados pessoais controlados pela ANAC ou o compartilhamento de dados pessoais entre a ANAC e a contratada.> Em caso positivo, especificar, se possível, o seguinte:

- Quais serão os dados pessoais tratados?

- Serão tratados dados pessoais sensíveis? Se sim, quais?

- Como serão utilizados esses dados pessoais (qual a finalidade específica do tratamento)?

- Qual a base legal que fundamenta as atividades de tratamento (lei, norma, etc.)?

<Definições: Dado pessoal: informação relacionada a pessoa natural identificada ou identificável; Exemplos: nome, endereço, e-mail, identidade, CPF, endereço de IP do computador; Dados pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural; Tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.

Para registro nesse campo, deverá ser considerado apenas o tratamento de dados pessoais que se der especificamente no âmbito do serviço prestado à ANAC.>

INFORMAÇÕES ADICIONAIS

Não se aplica.

Observações:

O Documento de Formalização da Demanda deve ser assinado pela autoridade máxima da respectiva Unidade Diretamente Vinculada à Diretoria - UDVD. Caso haja indicação de integrante requisitante no documento, o servidor indicado deverá manifestar ciência expressa.

Caso o objeto se trate de uma solução de Tecnologia da Informação e Comunicação – TIC, a demanda deverá ser enviada à Superintendência de Tecnologia da Informação (STI); para os demais objetos, a demanda deverá ser direcionada à Superintendência de Administração e Finanças (SAF).

Idealmente as demandas são planejadas para o exercício subsequente, contudo, caso seja necessário o início imediato da elaboração dos documentos para a contratação (Estudo Técnico Preliminar, Mapa de Riscos e Termo de Referência), indique o(s) servidor(es) para a Equipe de Planejamento da Contratação. Caso se tratar de bens/serviços de TIC, informar, adicionalmente, o alinhamento da demanda ao Plano Estratégico da ANAC e ao Plano Diretor de Tecnologia da Informação e Comunicação (PDTIC) vigentes.

Para as demandas apresentadas tempestivamente orienta-se a constituição da Equipe de Planejamento da Contratação, por meio de despacho da autoridade competente com a indicação do(s) servidor(es) responsável(eis) e, para contratações de TIC, o registro do alinhamento ao Plano Estratégico da ANAC e ao PDTIC vigentes, com antecedência de 6 a 8 meses da data em que a demanda deve ser finalizada com a entrega do bem ou início da execução do serviço. O despacho deve ser direcionado à unidade competente, conforme item 1 acima.

Para eventuais esclarecimentos, enviar e-mail para gtpp.sti@anac.gov.br (para as demandas de TIC) ou licitacao@anac.gov.br (para as demais demandas).

---

Documento assinado eletronicamente por Fernando André Coelho Mitkiewicz, Superintendente de Tecnologia e Transformação Digital, em 25/03/2024, às 22:11, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

---

Documento assinado eletronicamente por Felipe Santos Sarmanho, Gerente, em 26/03/2024, às 12:48, conforme horário oficial de Brasília, com fundamento no art. 4º, do Decreto nº 10.543, de 13 de novembro de 2020.

---

A autenticidade deste documento pode ser conferida no site https://sei.anac.gov.br/sei/autenticidade, informando o código verificador 9798950 e o código CRC AB8A690B.

---