{"id":6205,"date":"2024-05-22T08:42:07","date_gmt":"2024-05-22T07:42:07","guid":{"rendered":"https:\/\/iblow.eu\/compliance-sim-ou-nao\/"},"modified":"2025-08-19T08:28:09","modified_gmt":"2025-08-19T07:28:09","slug":"compliance-sim-ou-nao","status":"publish","type":"post","link":"https:\/\/iblow.eu\/pt\/compliance-sim-ou-nao\/","title":{"rendered":"Compliance: Sim ou N\u00e3o?"},"content":{"rendered":"

Compliance: Sim ou N\u00e3o?<\/strong><\/h1>\n

No seguimento do nosso artigo anterior, com o t\u00edtulo\u00a0\u201cDiretiva Europeia relativa \u00e0 prote\u00e7\u00e3o dos denunciantes: Principais requisitos para as empresas<\/strong>\u201d<\/a>\u00a0(clicar para saber mais) como que se estiv\u00e9ssemos a ler o artigo desta semana, no seguimento do anterior (se ainda n\u00e3o o leu, recomendamos que o fa\u00e7a para melhor perceber a sequ\u00eancia dos conte\u00fados).<\/p>\n

Dever\u00edamos ler ou at\u00e9 encaixar este artigo na sequ\u00eancia do par\u00e1grafo com o t\u00edtulo \u201cCaracter\u00edsticas de um Canal de Den\u00fancia Eficaz:<\/strong>\u201d<\/p>\n

Por forma a dar continua\u00e7\u00e3o, detalhando o ponto em causa, levantado no artigo anterior, achamos por bem explicar o que estes termos, num contexto de conformidade legal com estas diretivas europeias, querem dizer relativamente \u00e0s funcionalidades que deveremos exigir ter nas solu\u00e7\u00f5es escolhidas ou a escolher.<\/p>\n

D\u00e1 Apenas os Acessos Devidos?<\/strong><\/h2>\n

Ou seja, para ser poss\u00edvel garantir a confidencialidade e seguran\u00e7a destas aplica\u00e7\u00f5es, de gest\u00e3o de canais de den\u00fancia, um dos principais pontos a analisar ser\u00e1 a necessidade de existir um controlo de acessos bastante apertado.<\/p>\n

Estes dever\u00e3o ser reduzidos ao m\u00e1ximo e n\u00e3o permitir acessos indevidos<\/strong>\u00a0\u2013 todos os que s\u00e3o alheios \u00e0 fun\u00e7\u00e3o de respons\u00e1vel pelo tratamento de cada uma das den\u00fancias, n\u00e3o podem ter acesso \u00e0s mesmas e \u00e0 identifica\u00e7\u00e3o (direta ou indireta) dos denunciantes.<\/p>\n

Vamos percorrer alguns exemplos, evidenciando que, al\u00e9m dos n\u00edveis de seguran\u00e7a lata de informa\u00e7\u00e3o encriptada, os acessos indevidos nem sempre s\u00e3o apenas por ataque externo \u00e0s infraestruturas, \u00e0s aplica\u00e7\u00f5es ou bases de dados.<\/p>\n

Porqu\u00ea?<\/strong><\/h2>\n

Isto porque os acessos a essas aplica\u00e7\u00f5es, e \u00e0s bases de dados das mesmas \u00e9 realizado por equipas de inform\u00e1ticos, de um ou de v\u00e1rios elementos, sejam eles internos ou externos \u00e0 organiza\u00e7\u00e3o, ou mesmo t\u00e9cnicos de suporte que facilmente poder\u00e3o ser coniventes com pedidos de identifica\u00e7\u00e3o de informa\u00e7\u00e3o sens\u00edvel ou de ID dos denunciantes, manipula\u00e7\u00e3o de dados para favorecer interesses internos de algum dos visados em determinadas den\u00fancias, etc\u2026 o risco de acesso indevido ou viola\u00e7\u00e3o de dados, por pessoal n\u00e3o autorizado, foi consumado.<\/p>\n

Acontecendo estas ou outras viola\u00e7\u00f5es, de acesso n\u00e3o restrito, n\u00e3o reservado a quem tem mesmo de ter acesso \u2013 os respons\u00e1veis pelos tratamentos\u00a0(\u201cneed to know basis\u201d \u2013<\/strong><\/em>\u00a0Apenas quem precisa mesmo de saber<\/strong>), pois assim estaremos a reduzir drasticamente a confidencialidade e a seguran\u00e7a, por vezes t\u00e3o prometidas e n\u00e3o garantidas.<\/p>\n

Reduzindo assim, drasticamente, a legalidade de todo o processo pois exp\u00f5e dados que a lei prev\u00ea proteger \u2013 evidenciando v\u00e1rias n\u00e3o conformidades legais das entidades que fazem estas escolhas, do ponto de vista de conformidade legal, serem as menos acertadas!<\/p>\n

M\u00faltiplo Cen\u00e1rios de N\u00e3o Conformidade<\/strong><\/h2>\n

Temos uma pan\u00f3plia imensa de op\u00e7\u00f5es em uso corrente no mercado, por diversas entidades que acham que podem e devem utilizar as formas que pensam serem as mais adequadas, achando que o resultado de conformidade \u00e9 de qualquer uma dessas formas alcan\u00e7ado \u2013 pois n\u00e3o \u00e9!<\/p>\n

Talvez pelo curto investimento ou provavelmente por acharem que de determinadas formas conseguem atingir o controlo de toda a informa\u00e7\u00e3o, isto quando o cen\u00e1rio s\u00e3o os desenvolvimentos internos de aplica\u00e7\u00f5es.<\/p>\n

Exemplos de ferramentas indevidas<\/strong><\/h2>\n

Vamos de seguida enunciar algumas das formas que fomos encontrando, de plataformas de gest\u00e3o de canais de den\u00fancia, ou muitas vezes apenas de recolha dos relatos de irregularidades de den\u00fancias e pouco mais, ou mesmo nada mais.<\/p>\n

Apesar da boa vontade, seguindo o intuito de\u00a0\u201c\u2026\u00e9 melhor fazer alguma coisas do que nada\u201d,\u00a0<\/strong>poucas vezes ou mesmo nunca (pelo menos pela avalia\u00e7\u00e3o do que fomos encontrando) fazem cumprir o normativo legal em vigor, nestas mat\u00e9rias do RGPC e RGPDi.<\/p>\n

Valer\u00e1 a pena ler atentamente os benef\u00edcios perdidos pelo uso de plataforma de conformidade legal duvidosa, no nosso artigo\u00a0\u201cCanal de Den\u00fancias An\u00f3nimas: As vantagens para a sua empresa\u201d<\/a>\u00a0<\/strong>(clicar para saber mais) e assim tentar equilibrar nos pratos da balan\u00e7a o que pode ter ganho (ou vir a ganhar) versus o que pode ter perdido (ou vir a perder) com as decis\u00f5es tomadas ou a tomar, respetivamente.<\/p>\n

Um simples Email ou telefone<\/strong><\/h3>\n

Simplesmente disponibilizar um email para recolha dos relatos de irregularidades ou mesmo um n\u00famero de telefonema para o efeito, n\u00e3o cumpre de novo os requisitos legais, pois n\u00e3o garante qualquer privacidade, confidencialidade, muito menos anonimato, que estes processos exigem.<\/p>\n

A n\u00e3o ser que fossem tomadas medidas muito fora do normal que nunca vimos implementadas e que ficariam bem mais caras e dif\u00edceis de manter ou gerir.<\/p>\n