RESOLUÇÃO ADMINISTRATIVA ANS Nº 087, DE 13.03.2025
CONTEÚDO
RESOLUÇÃO ADMINISTRATIVA ANS Nº 087, DE 13.03.2025
Dispõe sobre a Política de Governança de Dados e Informações da Agência Nacional de Saúde Suplementar.
A Diretoria Colegiada da Agência Nacional de Saúde Suplementar - ANS, no uso da atribuição que lhe confere o inciso II do art. 10 da Lei nº 9.961, de 28 de janeiro de 2000 e o artigo 4º, inciso I, combinado com o artigo 9º, incisos I e III, ambos do Anexo I do Decreto nº 3.327, de 5 de janeiro de 2000, tendo em vista o disposto na Lei nº 13.709, de 14 de agosto de 2018, na Lei nº 12.527, de 28 de novembro de 2011, na Lei nº 14.129, de 29 de março de 2021, na Lei nº 9.507, de 12 de novembro de 1997, no Decreto nº 10.046, de 9 de outubro de 2019, bem como o disposto no inciso III, do art. 24, do Regimento Interno da ANS - Resolução Regimental - RR nº 21, de 26 de janeiro de 2022, em reunião realizada no dia 10 de Março de 2025, adotou a seguinte Resolução Administrativa, e, eu, Diretora-Presidente Interina, determino a sua publicação.
CAPÍTULO I
DAS DISPOSIÇÕES PRELIMINARES
Art. 1º Esta Resolução Administrativa institui a Política de Governança de Dados e Informações - PGDI da Agência Nacional de Saúde Suplementar.
§ 1º A PGDI define as diretrizes e práticas para a governança de dados e informações na Agência Nacional de Saúde Suplementar (ANS), alinhada à estratégia da instituição e com base nos normativos vigentes norteará as relações estabelecidas entre a ANS e suas partes envolvidas.
§ 2º A PGDI se aplica a todas as unidades da ANS, aos servidores, colaboradores, terceirizados, estagiários, bem como, aos ocupantes de cargo de direção (CD1 e CD2) e comissionados e todos que realizem atividades que envolvam, de forma direta ou indireta, o tratamento de dados e informações custodiados pela Agência, constantes nas suas diferentes bases e sistemas.
§ 3º A PGDI também deverá ser observada pelos usuários, pessoa física, pessoa jurídica e parceiros envolvidos no processamento e manejo de dados e informações, quando do relacionamento com a ANS.
§ 4º O tratamento, processamento e manejo dos dados e informações relativos à PGDI por agentes internos e externos (pessoas naturais e jurídicas) mencionados nos parágrafos 2º e 3º do art. 1º desta Resolução condiciona-se à autorização específica de acesso mediante a celebração de Termo de Responsabilidade em observância do estabelecido no art. 1º da Resolução Administrativa ANS n º 81, de 13 de março de 2023, ou outra norma que vier a substituí-la.
Art. 2º A PGDI alinha-se institucionalmente à Política de Segurança da Informação da ANS - PSI/ANS, à Política de Proteção de Dados Pessoais da ANS - PPDP, à Política de Gestão de Riscos da ANS, à Política Integrada de Governança e Responsabilidade Socioambiental - ESG e demais instrumentos legais relacionados.
Seção I
Dos conceitos e definições
Art. 3º Para fins desta Resolução Administrativa, no âmbito da governança de dados e informações da ANS, considera-se:
I - acesso: ato de ingressar, transitar, conhecer ou consultar a informação, bem como a possibilidade de usar os ativos de informação de um órgão ou entidade;
II - ativo de informação: conjunto de recursos físicos (computadores, impressoras, documentos impressos, discos rígidos, máquinas em geral e etc) e lógicos (softwares, arquivos de texto, planilhas, pdf´s e etc) corporativos organizados e gerenciados de forma centralizada pela ANS;
III - autenticidade: qualidade que garante que a informação tenha sido produzida, expedida, recebida ou modificada por determinado indivíduo, equipamento ou sistema;
IV - base de dados: repositório de dados e informações relacionados a determinado tema ou finalidade e estruturados de maneira a permitir a sua consulta, atualização e outros tipos de operação processados por meios informáticos;
V - compartilhamento de dados: comunicação, difusão, transferência internacional, interconexão de dados pessoais ou tratamento compartilhado de bancos de dados pessoais por órgãos e entidades públicos no cumprimento de suas competências legais, ou entre esses e entes privados, reciprocamente, com autorização específica, para uma ou mais modalidades de tratamento permitidas por esses entes públicos, ou entre entes privados;
VI - confidencialidade: propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados;
VII - conformidade: cumprimento de leis, regulamentos, normas técnicas e instrumentos jurídicos;
VIII - curador do dado: servidor indicado pela unidade administrativa responsável pela base de dados;
IX - curadoria: gestão de ativos de dados ou base de dados realizada pelo curador e em benefício institucional;
X - dado: sequência de símbolos ou valores, representados em algum meio, produzidos como resultado de um processo natural ou artificial;
XI - dados abertos: dados públicos representados em meio digital ou físico, estruturados em formato aberto, processáveis por máquina, referenciados na rede mundial de computadores e disponibilizados sob licença aberta que permita sua livre utilização, consumo ou cruzamento, limitando-se a creditar autoria ou a fonte;
XII - disponibilidade: qualidade da informação que pode ser conhecida e utilizada por indivíduos, equipamentos ou sistemas autorizados;
XIII - gestão de dados: processo que contempla as atividades de planejamento, aquisição, organização, estruturação, tratamento, curadoria e análise de dados;
XIV - gestor da informação: responsável pela unidade organizacional da ANS que responde pela gestão das informações;
XV - gestor do dado: responsável pela unidade organizacional da ANS que responde pela gestão de determinado conjunto de dados (e/ou de uma base de dados);
XVI - governança de dados e informações: mecanismos de organização e implementação de procedimentos, estruturas, culturas, papéis e responsabilidades que norteiam a gestão de dados e informações para atender às necessidades atuais e futuras das unidades organizacionais da ANS e de seus agentes, bem como dos usuários, pessoa física e jurídica, quando do relacionamento com a Agência;
XVII - governo Digital: promoção da transformação digital e estímulo ao uso de soluções digitais na gestão e prestação de serviços públicos sob a responsabilidade da instituição;
XVIII - informação: dados, processados ou não, que podem ser utilizados para produção e transmissão de conhecimento, contidos em qualquer meio, suporte ou formato;
XIX - integridade: qualidade da informação não modificada, inclusive quanto à origem, trânsito e destino;
XX - Plano de Dados Abertos - PDA: documento orientador para as ações de implementação e promoção de abertura de dados de cada órgão ou entidade da administração pública federal, obedecidos os padrões mínimos de qualidade, de forma a facilitar o entendimento e a reutilização das informações;
XXI - segurança da Informação: ações que objetivam viabilizar e assegurar a autenticidade, confidencialidade, disponibilidade, integridade e conformidade de dados e informações;
XXII - serviço público: atividade administrativa ou de prestação direta ou indireta de bens ou serviços à população, exercida por órgão ou entidade da administração pública;
XXIII - tratamento de dados: toda operação realizada com dados, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração; e
XXIV - usuários: servidores ocupantes de cargo efetivo ou em comissão, requisitados e cedidos, desde que previamente autorizados, empregados de empresas prestadoras de serviços terceirizados, consultores, estagiários, e outras pessoas que se encontrem a serviço da Administração Pública Federal, utilizando em caráter temporário os recursos tecnológicos da ANS, formalizado por meio da assinatura do Termo de Responsabilidade e Sigilo.
Seção II
Dos princípios
Art. 4º São princípios da PGDI:
I - integridade e precisão: assegurar que todas as informações sejam completas, precisas e confiáveis para subsidiar a tomada de decisões;
II - segurança e confidencialidade: proteger as informações contra acesso não autorizado e vazamentos, garantindo a privacidade dos dados sensíveis e pessoais;
III - disponibilidade e acesso: garantir que as informações estejam disponíveis, quando autorizadas, sempre que necessário, e em tempo hábil;
IV - conformidade: adotar e manter práticas que estejam em conformidade com as regulamentações e legislações pertinentes, incluindo a Lei Geral de Proteção de Dados Pessoais - LGPD e outros normativos aplicáveis; e
V - responsabilidade e transparência: definir claramente as responsabilidades e promover a transparência nos processos de governança e gestão de dados e informações.
Seção III
Das diretrizes
Art. 5º São diretrizes da PGDI:
I - dados e informações produzidos e/ou custodiados no exercício das funções da ANS são de propriedade da Agência e serão gerenciados como ativos de informação;
II - a gestão de dados e informações estará integrada à estratégia organizacional da ANS, contribuindo para o cumprimento dos objetivos estabelecidos pela alta direção da Agência;
III - a gestão de dados e informações, na ANS, estará pautada pela legislação vigente e atuará de modo a identificar, avaliar e tratar potenciais riscos institucionais e de segurança da informação, bem como aqueles relativos à privacidade e proteção de dados pessoais sob sua custódia;
IV - a interoperabilidade e integração de dados e sistemas são fundamentais para a ampliação e potencialização do acesso, compartilhamento e reuso de dados e informações;
V - a ANS atuará de modo a proteger os direitos fundamentais de liberdade, de privacidade e o livre desenvolvimento da personalidade da pessoa natural;
VI - ativos de informação serão protegidos para garantia do sigilo devido e de sua integridade, autenticidade, disponibilidade e conformidade;
VII - aprendizado contínuo e redução da duplicação de esforços, descontinuidades e evasão de conhecimento, inclusive na coleta de dados;
VIII - publicidade como preceito geral e o sigilo como exceção no tratamento e divulgação dos dados, informações e conhecimentos produzidos pela ANS, respeitando os aspectos da privacidade e proteção dos dados pessoais, nos termos da legislação vigente; e
IX - promoção do Plano de Dados Abertos - PDA da ANS, zelando pelos princípios da publicidade, transparência e eficiência, visando ao aumento da disseminação de dados que contenham informações de interesse público.
Seção IV
Do objetivo
Art. 6º É objetivo da PGDI fortalecer os mecanismos de governança de dados e informações que permitam direcionamento, monitoramento, supervisão e avaliação da prática da gestão, promovendo a conformidade normativa e o uso eficiente das informações para a regulação e fiscalização do setor de saúde suplementar, com a finalidade de:
I - orientar a produção, disseminação, utilização e retenção do conhecimento, visando o aprimoramento da regulação e a promoção do desenvolvimento setorial;
II - preservar a memória da ANS;
III - garantir o sigilo, a integridade, a autenticidade, a disponibilidade, a conformidade e a segurança de dados e informações;
IV - prevenir fraudes;
V - reduzir a replicação de esforços e de custos associados aos ativos de informação;
VI - mitigar o risco de contradições entre informações geradas a partir de diferentes fontes de dados;
VII - promover o aprimoramento contínuo dos processos de monitoramento e avaliação da gestão de dados;
VIII - promover a capacitação e a conscientização dos servidores em relação à governança e à gestão de dados e informações;
IX - promover o compartilhamento de dados e informações entre as unidades da ANS;
X - integrar e disseminar dados e informações setoriais com o objetivo de subsidiar processos decisórios no âmbito da ANS; e
XI - fomentar, aprimorar e garantir a efetividade do uso dos dados para o desenvolvimento de políticas públicas e entrega de soluções e serviços ao cidadão.
CAPÍTULO II
DAS DISPOSIÇÕES GERAIS
Art. 7º As unidades da ANS no âmbito de suas atribuições regimentais deverão promover:
I - estratégia corporativa de gestão de dados e informações;
II - cultura organizacional conducente à governança efetiva de dados e informações;
III - interação com órgãos e instituições parceiras, seja por meio de Acordos de Cooperação Técnica, Convênios, Contratos, ou outros instrumentos congêneres, e destinatários do serviço público;
IV - comunicação e treinamentos regulares sobre governança e gestão de dados e informações incluindo as exigências das leis e decretos aplicáveis;
V - aprimoramento da gestão por processos;
VI - uso intensivo de tecnologia;
VII - coleta de dados e informações obrigatórios junto ao setor regulado;
VIII - gestão da segurança da informação;
IX - divulgação de informações relevantes;
X - alinhamento entre a LGPD e os dados sob responsabilidade da ANS;
XI - avaliação de riscos nos processos de gerenciamento dos dados e informações a fim assegurar que os riscos estejam mitigados e permaneçam dentro do apetite pelo risco estabelecido pela ANS;
XII - definição de requisitos de qualidade dos dados;
XIII - monitoramento e avaliação da qualidade dos dados e a realização de correções quando necessário;
XIV - a classificação do risco na perspectiva do dado, com o intuito de determinar o acesso, o nível de segurança e de recursos a diferentes classes de dados;
XV - plano de resposta para identificar e reagir a incidentes de segurança de dados; e
XVI - o estabelecimento de um vocabulário para a governança e gerenciamento de dados e informações.
CAPÍTULO III
DA ESTRUTURA DA GOVERNANÇA E DAS ATRIBUIÇÕES
Art. 8º A estrutura da Governança de Dados e Informações no âmbito da ANS será composta por:
I - Comitê de Governança, Riscos e Controles, conforme composição prevista na Resolução Administrativa - RA nº 67, de 11 de maio de 2017 ou outra norma que vier a substituí-la;
II - Comitê de Governança Digital - CGD, conforme composição prevista na Resolução Administrativa - RA nº 70, de 23 de dezembro de 2020 ou outra norma que vier a substituí-la;
III - Diretoria de Desenvolvimento Setorial - DIDES;
IV - Gestores de Dados e Informações, em suas respectivas unidades administrativas; e
V - Curadores de Dados, formalmente designados.
Art. 9º O Comitê de Governança, Riscos e Controles possui as seguintes atribuições relacionadas à Governança de Dados e Informações na ANS:
I - supervisionar a institucionalização de estruturas adequadas;
II - supervisionar a promoção do desenvolvimento contínuo dos agentes públicos e incentivar a adoção de boas práticas;
III - emitir recomendações para o aprimoramento da governança de dados e informações; e
IV - monitorar as recomendações e orientações deliberadas pelo Comitê.
Art. 10. Compete ao CGD as seguintes atribuições relacionadas à Governança de Dados e Informações na ANS:
I - estabelecer diretrizes de alinhamento entre as iniciativas e processos de análise de gerenciamento de dados da ANS e as soluções de TIC, a Estratégia de Governo Digital e o Planejamento Estratégico da Agência;
II - orientar as iniciativas de planejamento, orçamento, investimentos, priorização, análise e gerenciamento de dados da Agência; e
III - definir prioridades na formulação e na execução de projetos relacionados à análise e gerenciamento de dados.
Art. 11. Compete à Diretoria de Desenvolvimento Setorial, com o auxílio da unidade responsável pela Padronização, Interoperabilidade e Análise de Informação, em conformidade com o disposto nos incisos XI, XIV, XVIII e XIX do artigo 29 da RR ANS nº 21, de 2022, promover, planejar, implementar, coordenar, monitorar, disseminar, propor e manter a política e regulamentos de governança e de gestão dos dados e informações, submetendo-as ao CGD e ao Comitê de Governança, Riscos e Controles.
Art. 12. Os gestores de dados e informações, com o apoio dos curadores de dados, serão responsáveis pela aplicação desta política e execução do gerenciamento dos dados e informações em suas respectivas unidades.
Art. 13. Os Diretores, assim como, os chefes das unidades vinculadas à Diretoria Colegiada, indicarão os curadores titulares e suplentes, os quais serão nomeados nos termos de Portaria específica.
CAPÍTULO IV
DA GESTÃO DE DADOS E INFORMAÇÕES
Art. 14. A gestão dos dados e informações será realizada de forma eficiente, segura e transparente promovendo a integridade, a disponibilidade e assegurando que os dados sejam coletados, armazenados, processados, compartilhados e eliminados os que estejam em desuso, de maneira eficaz, responsável e ética, contemplando o uso adequado da infraestrutura tecnológica da agência.
Art. 15. Normas internas e outros instrumentos que disciplinem os processos específicos, as práticas e procedimentos da gestão dos dados e informações e definição de vocabulário, que orientem os gestores, servidores e prestadores de serviço contratados/terceirizados no desempenho das suas respectivas atribuições e responsabilidades, serão elaborados pela unidade responsável pela Padronização, Interoperabilidade e Análise de Informação da Diretoria de Desenvolvimento Setorial, seguindo as disposições desta política, dos normativos vigentes e das melhores práticas.
CAPÍTULO V
DAS DISPOSIÇÕES FINAIS
Art. 16. Esta Resolução Administrativa será revisada sempre que necessário para garantir que esteja atualizada com as melhores práticas e com as mudanças na legislação e regulamentação aplicáveis.
Art. 17. Os casos omissos desta Resolução Administrativa serão resolvidos pela Diretoria Colegiada.
Art. 18. Esta Resolução Administrativa entra em vigor 60 (sessenta dias) após a data de sua publicação.
CARLA DE FIGUEIREDO SOARES
Diretora-Presidente
Interina
(DOU de 14.03.2025 – págs. 106 e 107 - Seção 1)