Copyright © Dia Oficial 2026 | contato@diaoficial.com

DOU 23/05/2025 - Diário Oficial da União - Brasil 

                            Documento assinado digitalmente conforme MP nº 2.200-2 de 24/08/2001,
que institui a Infraestrutura de Chaves Públicas Brasileira - ICP-Brasil.
Este documento pode ser verificado no endereço eletrônico
http://www.in.gov.br/autenticidade.html, pelo código 05152025052300223
223
Nº 96, sexta-feira, 23 de maio de 2025
ISSN 1677-7042
Seção 1
.
Com o desenvolvimento das tecnologias que utilizam Inteligência Artificial (IA), foram ampliadas suas possibilidades de uso na saúde, incluindo rotinas de agendamentos, processo
de check-in do paciente, antecipação de documentação para procedimentos, auxílio no diagnóstico e tratamento de doenças, monitoramento das condições de saúde, entre outros. Além
do apoio à prática do cuidado em saúde, a IA também pode apoiar diversas ações como a vigilância de doenças, gestão de sistemas, auditoria e pesquisas.
. .Embora as novas tecnologias que usam IA sejam muito promissoras para as práticas de gestão e assistenciais no campo da saúde, se mal utilizadas podem ocasionar riscos e danos.
Diferentes ferramentas e sistemas informatizados de IA se valem de algoritmos para a tomada de decisões. Nesse contexto, tem se ampliado o debate e as regulamentações em torno da
responsabilização e do uso ético da IA, buscando promover a clareza e compreensão de como as decisões são formuladas (ANJOS, 2019; WHO, 2021; FRAJHOF, 2021; ALETEIA, 2024; BRASIL,
2024a; 2024b; UNIÃO EUROPEIA, 2024).
Desse modo, a operadora deve considerar os aspectos éticos no uso de diferentes ferramentas de TI, incluindo as de Inteligência Artificial (IA).
. .
1.4.1
.A Operadora exclusivamente odontológica possui plano diretor de tecnologia da informação alinhado ao planejamento estratégico para disponibilizar recursos a fim
de atender às necessidades tecnológicas e de informação da organização.
.
Essencial
.
Interpretação:
O Plano Diretor de Tecnologia da Informação (PDTI) é um instrumento de diagnóstico, planejamento e gestão dos recursos e processos de tecnologia da informação, que visa atender
às necessidades tecnológicas e de informação de uma organização, para um determinado período, devendo estar alinhado ao planejamento estratégico e fornecer informações relevantes para
o processo de tomada de decisão.
O PDTI permite otimizar a gestão e antecipar o futuro, orientando e priorizando as atividades e projetos de TI necessários para atender ao planejamento estratégico da
organização.
.
É recomendável que o PDTI contemple os seguintes itens:
1. Histórico, contexto em torno do seu desenvolvimento e as mudanças ocorridas;
2. Descrição e avaliação das condições de instalações, recursos e de pessoal;
3. Referencial estratégico;
4. Inventário das necessidades apuradas;
. .5. Definição das responsabilidades;
6. Plano de metas, ações, orçamento, gestão dos recursos, investimento, custeio e gestão de riscos;
7. Fatores críticos de sucesso para a sua implementação;
8. Plano de Contingência para a garantia de condições mínimas de operação.
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência documentada do PDTI e o seu alinhamento ao planejamento estratégico da organização. O PDTI deverá ser revisto, no mínimo, quando da atualização do
planejamento estratégico da operadora.
. .
1.4.2
.O plano diretor de tecnologia da Informação contempla a existência de mecanismos tecnológicos para proteção de informações sensíveis de cadastro e transações
operacionais.
.
Essencial
.
Interpretação:
O PDTI deverá prever os mecanismos tecnológicos que asseguram a proteção/integridade das informações geradas internamente e aquelas proveniente de beneficiários e prestadores
por intermédio do padrão TISS. Informações sensíveis não devem ser apropriadas pela concorrência ou pelo público em geral. Exemplo de informações consideradas sensíveis: dados clínicos,
ligados à condição de saúde, cadastro e diagnósticos dos beneficiários, valores monetários, cadastro de colaboradores e transações operacionais.
. .Há algumas técnicas de criptografia para comunicação e modelos de "anoniminização" de dados. Cabe registrar que segurança de informação envolve etapas de planejamento,
monitoramento e gerenciamento, entre outras funções.
Algumas práticas recomendáveis em relação a gestão de dados e troca de informações envolvem a gestão dos dados e certificação digital.
A análise do item deverá ainda verificar o atendimento à Lei Geral de Proteção de Dados (LGPD).
(Valle, 2010).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Os auditores deverão considerar as evidências da adoção de práticas recomendáveis em relação ao seguintes aspectos:
- Gestão dos dados: Os auditores deverão verificar, entre outras ações se a operadora possui uma política de segurança de dados; utiliza criptografia para proteger dados sensíveis,
possui controle de acesso aos sistemas por usuário e senha; se os perfis de acesso são revisados periodicamente para evitar acessos indevidos.
. .Aliado a isso, os auditores deverão realizar uma avaliação de documentos (política); solicitar a apresentação de arquivos criptografados e a exemplificação da tecnologia utilizada; realizar
uma verificação de sistemas utilizados pela operadora; solicitar relatórios de revisão de acesso, registro dos logs de acessos e tentativas de acesso ao sistema de informação.
- Troca de informações: Os auditores deverão verificar ainda se a operadora possui Certificado Digital instalado em seu servidor para Troca de Informações com os prestadores
conveniados e a familiaridade da operadora com as determinações da ANS quanto aos componentes do TISS, os quais são periodicamente atualizados no portal da ANS na internet.
. .
1.4.3
.O plano diretor de tecnologia da Informação contempla plano de contingência de serviços de TI para garantir a disponibilidade dos serviços em situações
emergenciais.
.
Essencial
. .Interpretação:
O Plano de Contingência visa a manutenção e disponibilidade dos serviços da operadora no caso de situações emergenciais e deve fazer parte da gestão de segurança da operadora
complementando desta maneira o planejamento estratégico. Nele são especificados procedimentos preestabelecidos que deverão ser observados nas tarefas de recuperação do ambiente de
sistemas e negócio, de modo a diminuir o impacto causado por incidentes que não possam ser evitados pelas medidas de segurança em vigor. (AMARO, 2004; EIOPA, 2014)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar se o PDTI contempla plano de contingência de serviços de TI que garantam a disponibilidade dos serviços em situações emergenciais.
. .
1.4.4
.A Operadora exclusivamente odontológica utiliza sistemas automatizados e documentados nos principais processos operacionais.
.
Complementar
.
Interpretação:
Sistemas Automatizados fazem uso de técnicas que têm como objetivo otimizar tempo, reduzir custos e focar na qualidade de um bem ou serviço que está se produzindo ou
prestando.
.
A operadora deverá definir os principais processos a serem automatizados, justificando como estes processos foram definidos, os critérios para determinação do grau de
automatização e o alinhamento da decisão à sua estratégia de negócios. Cabe ressaltar que os riscos da automatização também deverão ser avaliados e mitigados e que todo esse processo
deverá estar devidamente documentado e embasado. Citam-se alguns processos passíveis de automatização: (1) autorização de eventos assistenciais; (2) cadastramento de prestadores
conveniados; (3) atendimento ao beneficiário; (4) registro do faturamento; (5) recebimento de guias e pagamento (prestadores e reembolso); (6) elegibilidade do beneficiário; entre
outros.
. .É possível que um processo principal contenha diversos processos críticos ou chaves. Os processos críticos são aqueles que têm impacto na realização de metas e objetivos, ao passo que
os processos chaves são os mais relevantes do ponto de vista da satisfação do cliente interno ou externo. Pode ser que nem todos os processos sejam passíveis de automatização ou ainda,
que existam etapas de um processo onde não é recomendável a automatização (RODRIGUES, 2011).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a utilização de sistemas automatizados e documentados nos principais processos operacionais. Os auditores deverão verificar como foram definidos os principais processos
operacionais, justificando, ainda, os critérios adotados para definir o grau de automatização, considerando o perfil da operadora e a estratégia de negócios da mesma.
São formas possíveis de evidência:
1. Relatório de mapeamento dos processos da operadora;
. .2. Informação documentada dos processos automatizados, contendo seu objetivo, fato gerador, atividades que transformam esse fato gerador, tomadas de decisão sobre o que fazer com
os dados e informações que estão percorrendo o fluxo;
3. Entrevistas com gestores e colaboradores sobre o grau de automatização atingido;
4. Verificação do percentual de processos passíveis de automatização; entre outros.
. .
1.4.5
.
A Operadora exclusivamente odontológica possui política de controle da Qualidade dos Dados.
.
Complementar
. .Interpretação:
Para que os dados coletados ou produzidos possam ser usados como informações úteis, sem erros que venham a comprometer o atendimento a seus beneficiários, sua relação com
prestadores, seu processo de tomada de decisão e suas obrigações frente à regulação, as operadoras devem formular políticas de controle de qualidade que garantam a integridade, segurança
e fidedignidade desses dados, abrangendo os processos de captação, produção, armazenamento, uso e disseminação de informações (SUSEP, 2014).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a existência de documentação acerca do controle da qualidade de dados utilizados na operadora, destacando-se:
1. Documento formal contendo política com diretrizes da operadora em relação ao controle da qualidade de dados;
2. Documentos específicos determinados em acordos entre o setor de TI e os outros setores da operadora; e
. .3. Evidência de controles de captação e do desenvolvimento de sistemas de armazenamento físico dos dados, incluindo mecanismo de consulta, alterações e reportes, além das definições
relativas à segurança lógica destes sistemas.
. .
1.4.6
.A Operadora exclusivamente odontológica realiza auditoria interna e/ou externa de sistemas de informação.
.
Complementar
.
Interpretação:
Visando garantir a qualidade de seus sistemas de informação, a redução de riscos na operação e a proteção de seus ativos informacionais, as operadoras devem realizar
sistematicamente auditorias especializadas de TI (internas ou externas) em seus sistemas, processos, operações e atividades de gestão e tomada de decisão. A auditoria deverá verificar a
aderência à Política de Tecnologia da Operadora bem como o atendimento às imposições legais e regulatórias.
. .A Política de Tecnologia da Operadora deverá conter as diretrizes de seleção, adoção, utilização e operação dos recursos de tecnologia da informação para atender a demandas regulatórias,
de clientes internos e externos e decorrentes de estratégias e objetivos de negócio da organização.
Cabe registrar que a auditoria externa de sistemas é independente e que a auditoria interna é realizada por profissionais ligados à operadora.
(ABNT, 2005; JULIANI, 2017)
. .Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Verificar a realização da auditoria de sistemas de informação e se os relatórios e documentos produzidos contêm: (1) tópicos sobre confiabilidade e veracidade das informações; (2)
a avaliação dos resultados da auditoria; (3) No caso da auditoria externa: se as conclusões do auditor externo asseguram a conformidade legal e regulamentar; entre outros, (4) No caso da
auditoria interna: se as conclusões do auditor interno definem o nível de conformidade legal e regulamentar, entre outros.
. .
1.4.7
.A Operadora exclusivamente odontológica possui ambientes segregados para desenvolvimento, testes e disponibilização dos sistemas de TI.
.
Complementar
. .Interpretação:
A operadora deverá manter ambientes segregados para desenvolvimento, testes, homologação e disponibilização visando garantir a estabilidade, segurança e qualidade dos sistemas
de informação, evitando o risco de introdução em produção de falhas de softwares ainda não testados ou homologados (ABNT, 2005).
.
Possíveis Fo r m a s de Obtenção de Ev i d ê n c i a s :
Entre as possíveis formas de evidência a serem verificadas, destacam-se as seguintes:
1. Utilização das funções e dados em seus ambientes providos dos controles e segregações adequados;
2. Evidência de disponibilidade de dados para testes e homologações, sem prejuízo da confidencialidade exigida pelo negócio;
3. Evidência de conformidade às exigências legais;

Fechar