Compliance: Sim ou Não?
No seguimento do nosso artigo anterior, com o título “Diretiva Europeia relativa à proteção dos denunciantes: Principais requisitos para as empresas” (clicar para saber mais) como que se estivéssemos a ler o artigo desta semana, no seguimento do anterior (se ainda não o leu, recomendamos que o faça para melhor perceber a sequência dos conteúdos).
Deveríamos ler ou até encaixar este artigo na sequência do parágrafo com o título “Características de um Canal de Denúncia Eficaz:”
Por forma a dar continuação, detalhando o ponto em causa, levantado no artigo anterior, achamos por bem explicar o que estes termos, num contexto de conformidade legal com estas diretivas europeias, querem dizer relativamente às funcionalidades que deveremos exigir ter nas soluções escolhidas ou a escolher.
Dá Apenas os Acessos Devidos?
Ou seja, para ser possível garantir a confidencialidade e segurança destas aplicações, de gestão de canais de denúncia, um dos principais pontos a analisar será a necessidade de existir um controlo de acessos bastante apertado.
Estes deverão ser reduzidos ao máximo e não permitir acessos indevidos – todos os que são alheios à função de responsável pelo tratamento de cada uma das denúncias, não podem ter acesso às mesmas e à identificação (direta ou indireta) dos denunciantes.
Vamos percorrer alguns exemplos, evidenciando que, além dos níveis de segurança lata de informação encriptada, os acessos indevidos nem sempre são apenas por ataque externo às infraestruturas, às aplicações ou bases de dados.
Porquê?
Isto porque os acessos a essas aplicações, e às bases de dados das mesmas é realizado por equipas de informáticos, de um ou de vários elementos, sejam eles internos ou externos à organização, ou mesmo técnicos de suporte que facilmente poderão ser coniventes com pedidos de identificação de informação sensível ou de ID dos denunciantes, manipulação de dados para favorecer interesses internos de algum dos visados em determinadas denúncias, etc… o risco de acesso indevido ou violação de dados, por pessoal não autorizado, foi consumado.
Acontecendo estas ou outras violações, de acesso não restrito, não reservado a quem tem mesmo de ter acesso – os responsáveis pelos tratamentos (“need to know basis” – Apenas quem precisa mesmo de saber), pois assim estaremos a reduzir drasticamente a confidencialidade e a segurança, por vezes tão prometidas e não garantidas.
Reduzindo assim, drasticamente, a legalidade de todo o processo pois expõe dados que a lei prevê proteger – evidenciando várias não conformidades legais das entidades que fazem estas escolhas, do ponto de vista de conformidade legal, serem as menos acertadas!
Múltiplo Cenários de Não Conformidade
Temos uma panóplia imensa de opções em uso corrente no mercado, por diversas entidades que acham que podem e devem utilizar as formas que pensam serem as mais adequadas, achando que o resultado de conformidade é de qualquer uma dessas formas alcançado – pois não é!
Talvez pelo curto investimento ou provavelmente por acharem que de determinadas formas conseguem atingir o controlo de toda a informação, isto quando o cenário são os desenvolvimentos internos de aplicações.
Exemplos de ferramentas indevidas
Vamos de seguida enunciar algumas das formas que fomos encontrando, de plataformas de gestão de canais de denúncia, ou muitas vezes apenas de recolha dos relatos de irregularidades de denúncias e pouco mais, ou mesmo nada mais.
Apesar da boa vontade, seguindo o intuito de “…é melhor fazer alguma coisas do que nada”, poucas vezes ou mesmo nunca (pelo menos pela avaliação do que fomos encontrando) fazem cumprir o normativo legal em vigor, nestas matérias do RGPC e RGPDi.
Valerá a pena ler atentamente os benefícios perdidos pelo uso de plataforma de conformidade legal duvidosa, no nosso artigo “Canal de Denúncias Anónimas: As vantagens para a sua empresa” (clicar para saber mais) e assim tentar equilibrar nos pratos da balança o que pode ter ganho (ou vir a ganhar) versus o que pode ter perdido (ou vir a perder) com as decisões tomadas ou a tomar, respetivamente.
Um simples Email ou telefone
Simplesmente disponibilizar um email para recolha dos relatos de irregularidades ou mesmo um número de telefonema para o efeito, não cumpre de novo os requisitos legais, pois não garante qualquer privacidade, confidencialidade, muito menos anonimato, que estes processos exigem.
A não ser que fossem tomadas medidas muito fora do normal que nunca vimos implementadas e que ficariam bem mais caras e difíceis de manter ou gerir.
-
- Será que pensam que o email que providenciam é seguro?
- Não deixará ninguém indevido ter acesso ao seu conteúdo?
- Como garantirão o anonimato?
Além de poder ser acedido por quem deve e quem não deve, internamente ou externamente à entidade e não estar circunscrito ao responsável pelo tratamento da denúncia, um email leva, entre muitos outros detalhes, o IP, com ele o local e o utilizador exato ou aproximado/provável que comunica com a entidade em causa, mais uma vez não cumpre os requisitos legais – ler mais atentamente a lei dá para perceber isso mesmo.
Websites Corporativos
Contratação de desenvolvimentos internos ou externos de websites corporativos (sejam em que CMS forem: WordPress, Drupal, Joomla, WIX, entre tantos outros).
Uma das ferramentas que temos visto inúmeras vezes, em websites, a fazerem de canal de denúncias, é, além de tudo o resto já mencionado, instalarem um add-on / plug-in, chamado Microsoft Clarity, que nada temos contra em websites corporativos, logo que bem implementado, que simplesmente grava filmagens de todo o processo de acesso, preenchimento de cada denúncia realizada…, sim filma as operações realizadas pelos denunciantes… não é de todo o que é necessário para cumprir a lei;
Formulário web
Múltiplos canais de denúncia temos encontrado com simples formulários web, diretamente nos websites ou por formulário do tipo google forms (entre tantos outros parecidos) a recolherem informações que não podem garantir, nem o nível de confidencialidade, nem muito menos o anonimato que os denunciantes precisarão para se sentirem à vontade em participarem.
Aplicações Multiusos
É de todo muito importante evitar optar por soluções partilhadas com outras funcionalidades, além de gestão de canal de denúncias, como são estes exemplos: software de gestão comercial, software de workflows, ERP’s, entre outros…
-
- Estas aplicações são facilmente configuráveis para partilharem informações “indevidas” (neste contexto) entre as várias tabelas das bases de dados, trocando a informação de denúncias ou denunciantes para tabelas de outros módulos para facilitar a gestão, mas complicar a conformidade legal no contexto destes normativos legais.
- Pessoas a mais terão acesso à aplicação e respetivas bases de dados, não será fácil manter e garantir o controlo de acessos a apenas os responsáveis pelos tratamentos, tanto ao conteúdo das denúncias como aos dados dos denunciantes.
O nível de gestão de acessos restrito aos dados dos denunciantes e á denúncia em si mesmo, não está garantida na maior parte das situações detetadas… A gestão de acessos existente é muito mais alargada do que deveria, idealmente apenas deve ter acesso à denúncia o responsável pelo tratamento e, quanto aos dados (diretos e indiretos) de quem denunciou, caso seja anónima, NINGUÉM!
Como se garante isso?
Garantindo que tudo cumpre uma inequívoca, clara e bem fechada gestão de acessos, com avaliações meticulosas realizadas por auditorias aplicacionais que analisam TUDO à lupa em todo o desenvolvimento e por várias análises à lei por vários “tipos” de olhares com múltiplos tipos de conhecimentos.
E claro, realizar todo o processo de análise e desenvolvimento com a segurança como fator prioritário, implementando todos os requisitos com olhos de auditor ISO27001 escrupuloso.
Nem mesmo os cookies, endereço IP ou qualquer outro dado relativo ao denunciante, que poderá até parecer que não o identifique – diretamente pelo menos – mas que se for possível ajudar a que seja possível indiretamente com este “pedaço” de informação identificar o denunciante, então será uma falha de segurança, de confidencialidade e claro que não garantirá, portanto, o anonimato do denunciante sempre que este o pretenda.
Se a plataforma escolhida recolhe ou guarda algum “pedaço” de informação, com a qual seja possível direta ou indiretamente, mesmo que apenas a nível técnico, identificar o denunciante, então não estará em conformidade legal com estes normativos.
Quem terá acesso a estas denúncias (dos cenários sem compliance)?
Bem “apenas” todos os profissionais que implementaram a solução, todos que dão manutenção à mesma, e dentro das aplicações terá de existir (infelizmente muito mais do que menos vezes, é inexistente o que seria suficiente) acessos reservados, bem delineados para cada papel (de cada tipo de utilizador) e bem definida qual a informação à qual cada um deve ou não ter acesso, pois só assim se diminui o risco de conflitos de interesses e se consegue a conformidade legal devida.
Será que lhe aconteceu ter tomado a decisão menos acertada?
Se sim, a boa notícia é que ainda vai a tempo!
O que fazer?
Garanta tanto a conformidade legal, por pouco mais do que fez, e muito mais benefícios do que os que estará a beneficiar, pergunte-nos como!
Consulte outros artigos que possam ser do seu interesse.
Esperamos tenha gostado deste artigo.
Obrigado!
Publicado em: 2024.05.22