O desempenho dos dispositivos anticoncepcionais intrauterinos de cobre

Entenda quais são as orientações sobre projeto e condução de estudos clínicos para determinar as características de desempenho de novos dispositivos intrauterinos.

A NBR ISO 11249 de 02/2021 – Dispositivos anticoncepcionais intrauterinos de cobre — Orientações sobre projeto, execução, análise e interpretação de estudos clínicos apresenta orientações sobre projeto e condução de estudos clínicos para determinar as características de desempenho de novos dispositivos intrauterinos. Também apresenta as recomendações sobre análise de dados quando o estudo é completado, assim como a interpretação desses resultados por fabricantes, pesquisadores e órgãos regulamentadores.

Destina-se a assegurar a conduta científica da investigação clínica e a credibilidade dos resultados da investigação clínica, e a auxiliar patrocinadores, monitores, investigadores, comitês de ética, autoridades regulamentadoras e outros órgãos envolvidos na avaliação de conformidade de dispositivos médicos. Algumas considerações de ensaios clínicos não são abordadas neste documento, incluindo compensação de indivíduo, confidencialidade de indivíduos e seus registros, uso de comitês locais de ética, etc. Estas e muitas outras questões de projetos de ensaios clínicos são cobertas em detalhes na ISO 14155.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais os critérios de inclusão para a seleção de indivíduos?

Quais são os procedimentos relacionados à investigação clínica?

Como deve ser feito o projeto estatístico, método e procedimentos analíticos?

O que fazer em relação aos eventos adversos, efeitos adversos do dispositivo e reclamações não médicas?

Pode-se ressaltar que esse guia de estudo clínico é destinado a auxiliar no projeto, execução, análise, e interpretação de estudos clínicos conduzidos de acordo com os requisitos da NBR ISO 7439. Os dispositivos intrauterinos (DIU) são altamente eficazes na prevenção da gravidez. Um novo dispositivo visa a manutenção ou melhora da eficácia da contracepção e/ou redução dos efeitos colaterais associados aos DIU, como sangramento menstrual excessivo.

Convém que ensaios avaliando DIU novos ou modificados sejam conduzidos sob os mais altos padrões e estas orientações ajudam aqueles preparando-se para um ensaio com DIU. Estas orientações são baseadas na estrutura e no conteúdo de um plano de investigação clínica (PIC) como descrito na ISO 14155 para auxiliar na elaboração e um PIC e incluem seções do PIC que são de pertinência especial para os ensaios com DIU.

Estas orientações também aproveitam a experiência adquirida no preparo da análise sistemática Cochrane de ensaios com DIU de cobre, que é usada para informar a atualização da Especificação OMS/UNFPA para DIU TCu380A. É importante que pessoas que projetam, executam e analisam estudos clínicos de novos DIU estejam familiarizadas com todas as normas pertinentes para pesquisa designadas para proteger os direitos, a segurança e o bem-estar do indivíduo.

Convém que estas orientações sejam lidas em conjunto com a ISO 14155. Os estudos clínicos também estão indivíduos às regulamentações locais e, na maioria dos países, requerem aprovação prévia do órgão regulamentador local. A ISO 14155 aborda a boa prática clínica para o projeto, a condução, o registro e o relatório de investigações clínicas realizadas em indivíduos humanos para avaliar a segurança ou desempenho de dispositivos médicos para fins regulamentares.

Convém que os princípios estabelecidos na ISO 14155 sejam aplicados a todos os ensaios com DIU. A ISO 14155 especifica os requisitos gerais destinados a proteger os direitos, a segurança e o bem-estar de indivíduos humanos e assegurar a conduta científica da investigação clínica e a credibilidade dos resultados. Define as responsabilidades do patrocinador e do investigador principal, e auxilia patrocinadores, investigadores, comitês de ética, autoridades regulamentadoras e outros organismos envolvidos na avaliação de conformidade de dispositivos médicos.

Convém que investigações clínicas sejam conduzidas de acordo com os princípios éticos que têm sua origem na Declaração de Helsinki. Isto protege os direitos, a segurança e o bem-estar dos indivíduos da investigação clínica, que são as considerações mais importantes e cuja prevalência sobre interesses da ciência e sociedade é requerida pela Declaração. Convém que isto seja compreendido, observado, e aplicado em todas as etapas da investigação clínica.

Os ensaios de um novo DIU são justificados se eles forem propensos a demonstrar um desempenho melhorado, seja por melhoria da eficácia, redução de efeitos colaterais ou melhoria nos padrões de sangramento, ou por potencial redução de custos quando comparados a DIU-padrão como o TCu380A. Convém que o consentimento esclarecido seja obtido por escrito e documentado antes que qualquer procedimento específico para a investigação clínica seja aplicado ao indivíduo.

O formulário de consentimento esclarecido consiste em um formulário de informação e um formulário de assinatura de consentimento esclarecido. Convém que os procedimentos especificados na ISO 14155 sejam seguidos na ocasião da obtenção do consentimento esclarecido. Convém que os procedimentos relacionados às informações a serem apresentadas ao indivíduo especificados na ISO 14155 sejam seguidos.

Convém que os riscos relacionados à gravidez sejam claramente apontados. Convém que os procedimentos especificados na ISO 14155 sejam seguidos na ocasião da obtenção da assinatura do consentimento esclarecido. Convém que a assinatura do indivíduo seja obtida antes da inscrição no estudo e antes que um DIU seja inserido.

Convém que o plano de investigação clínica (PIC) contenha: uma descrição resumida do dispositivo intrauterino e seu propósito destinado; o fabricante do dispositivo; o nome do modelo ou tipo e/ou número e acessórios, se houver, para permitir identificação completa; uma descrição de como a rastreabilidade será realizada durante e após a investigação clínica, por exemplo, atribuição de números de lote, números de partida, ou números de série; o propósito destinado do dispositivo intrauterino na investigação clínica proposta. Se outros fins além da contracepção forem previstos, convém que estes sejam descritos; as populações e indicações para as quais o dispositivo intrauterino é destinado quanto ao uso geral; uma descrição do dispositivo intrauterino incluindo quaisquer materiais que terão contato com tecidos ou fluidos corporais; as instruções para inserção e uso do DIU, incluindo quaisquer requisitos de armazenamento e manuseio, preparação para uso e quaisquer precauções a serem tomadas após o uso, por exemplo, descarte; um resumo do treinamento necessário e experiência necessária para o uso do DIU; uma descrição dos procedimentos médicos ou cirúrgicos necessários envolvidos no uso do dispositivo investigacional.

Embora os requisitos clínicos para DIU de cobre sejam especificados na NBR ISO 7439, recomenda-se, todavia, que seja feita uma análise crítica da bibliografia realizada durante o estágio de planejamento para quaisquer ensaios clínicos com DIU. Convém que o PIC contenha: as conclusões de uma análise crítica da bibliografia científica pertinente e/ou dados e relatórios não publicados; uma lista da literatura analisada criticamente.

As conclusões a partir desta análise crítica da bibliografia podem impactar no projeto das investigações clínicas propostas. Convém que a análise crítica seja pertinente ao propósito destinado do DIU e ao método de uso proposto. Convém ainda que ajude na identificação de endpoints pertinentes e fatores de confusão que sejam considerados, e na escolha e justificativa de comparador (es).

Convém que o PIC contenha um resumo do ensaio pré-clínico pertinente que tenha sido executado no DIU para justificar seu uso em indivíduos humanos, juntamente com uma avaliação de resultados do ensaio. Convém que o PIC contenha: um resumo dos resultados de investigações clínicas e uso clínico anteriores, se houver, que sejam pertinentes à investigação clínica proposta; experiência pertinente, se houver, com o DIU, ou dispositivos médicos com funcionalidades similares, incluindo aquelas relacionadas a outras indicações de uso do DIU; uma análise dos efeitos adversos do dispositivo e qualquer histórico de modificação ou recall.

Quanto aos riscos e benefícios do dispositivo investigacional e investigação clínica, convém que o PIC contenha: os benefícios clínicos previstos; os riscos residuais associados ao DIU, como identificado no relatório de análise de risco; os riscos associados à participação na investigação clínica; os efeitos adversos previstos do dispositivo; as possíveis interações com tratamentos médicos concomitantes; as medidas que serão adotadas para controlar ou atenuar os riscos; e a razão de risco/benefício. O processo de gerenciamento de risco, que inclui análise de risco, avaliação de risco/benefício e controle de risco, é descrito na NBR ISO 14971.

Para os objetivos e hipóteses da investigação clínica, convém que o PIC contenha: as declarações e desempenho destinado do DIU que são para ser verificados. A NBR ISO 7439 descreve três requisitos pelos quais o DIU é julgado: o limite superior do intervalo bilateral de confiança de 95 % para a taxa de gravidez de um ano computada por meio de métodos de tabela de vida (a NBR ISO 7439 especifica ≤ 2 %); as taxas de expulsão de um ano computadas por meio de métodos de tabela de vida (a NBR ISO 7439 especifica ≤ 10 %); as taxas de descontinuação por razões clínicas de um ano por meio de métodos de tabela de vida (a NBR ISO 7439 especifica ≤ 35 %).

Os organismos regulamentadores de alguns países podem requerer a análise de dados clínicos em mais de uma forma, a fim de avaliar resultados de interesse em diferentes formas. Por exemplo, além do requisito para análise de tabela de vida, citado anteriormente, um organismo regulamentador pode requerer uma análise primária aplicando a estatística Kaplan Meier.

O organismo regulamentador pode solicitar, adicionalmente, que seja calculado o Índice Pearl cumulativo. Tipicamente, a análise de tabela de vida é usada para avaliar cada ano de uso individual, assim como avaliar a duração completa do uso coberta pelo estudo inteiro. Pode haver subconjuntos a partir da análise de dados onde os limites citados anteriormente podem ser excedidos.

Ao analisar o resultado do estudo, é útil relatar resultados para subconjuntos específicos da população como sujeitas nulíparas. Ao calcular taxas de descontinuação, convém que as descontinuações somente sejam relacionadas ao dispositivo. O PIC também deve descrever os critérios e disposições para encerramento precoce ou suspensão da investigação clínica para toda a investigação clínica ou para um ou mais locais da investigação; os critérios para acesso e quebra do código de ensaio cego/mascaramento para encerramento precoce e suspensão da investigação clínica, caso a investigação clínica envolva técnica de ensaio cego/mascaramento; e os requisitos para acompanhamento do indivíduo.

A Qualidade das pastilhas cerâmicas

Deve-se entender as características, as classificações e os requisitos de marcação para pastilhas cerâmicas de melhor qualidade comercial (primeira qualidade).

A NBR 16928 de 02/2021 – Pastilhas cerâmicas — Classificação, características e marcação estabelece as características, as classificações e os requisitos de marcação para pastilhas cerâmicas de melhor qualidade comercial (primeira qualidade). Essa norma não é aplicável para pastilhas produzidas por outros processos que não sejam o de prensagem a seco. A NBR ISO 10545 (todas as partes) descreve os procedimentos de ensaios requeridos para determinar as características de produto listadas neste documento. A NBR ISO 10545 é uma norma multipartes, cada parte descreve um procedimento de ensaio específico ou assunto relacionado.

Acesse algumas indagações relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são as características para diferentes aplicações de pastilhas cerâmicas?

Qual é a classificação de pastilhas esmaltadas para pisos de acordo com sua classe de resistência à abrasão?

Quais são os métodos de ensaio que estão disponíveis mediante solicitação?

Quais são os símbolos recomendados para uso em relação às pastilhas cerâmicas?

As pastilhas cerâmicas são as placas cerâmicas com área igual ou inferior a 100 cm² e com o maior lado da peça limitado a 10 cm. São divididas em grupos de acordo com sua absorção de água e conformação (ver tabela abaixo). Os grupos não pressupõem o uso dos produtos.

Os dois grupos são divididos em pastilhas de baixa e média absorção de água, denominados grupos I e II, respectivamente. As pastilhas de baixa absorção de água, isto é coeficiente de absorção menor ou igual a fração de massa de 3%, Εv ≤ 3 %, pertencem ao grupo I.

O grupo I consiste no seguinte: para pastilhas prensadas a seco: Εv ≤ 0,5 % (Grupo BIa) e 0,5 % < Εv ≤ 3 % (Grupo BIb). Pastilhas de média absorção de água, isto é 3 % < Εb ≤ 10 %, pertencem ao grupo II.

O grupo II consiste no seguinte: para pastilhas prensadas a seco: 3 % < Εv ≤ 6 % (Grupo BIIa). Os requisitos dimensionais e de qualidade superficial e as propriedades físicas e químicas devem ser indicadas nos anexos relevantes/específicos, Anexos A C, para cada classe de pastilha cerâmica.

As pastilhas e/ou suas embalagens devem apresentar as seguintes marcações: marca do fabricante e/ou marca comercial e o país onde a placa foi fabricada (isto é, país de origem, conforme determinado por regulamento internacional relevante); indicação de primeira qualidade; tipo de placa e referência ao grupo apropriado e/ou anexos (Anexos A e B), os quais cobrem o grupo específico da pastilha cerâmica; tamanhos nominal e de trabalho, e “M” se modular; natureza da superfície, isto é, esmaltada (GL) ou não esmaltada (UGL); qualquer tratamento superficial aplicado após queima; número total de pastilhas cerâmicas na embalagem; número do lote ou série de produção do fabricante; indicação de consistência de cor, como definido pelo fabricante; peso seco total que as pastilhas cerâmicas e suas embalagens não podem exceder.

A documentação do produto para pastilhas cerâmicas destinadas ao uso em pisos deve indicar a classe de abrasão ou local de uso de pastilhas esmaltadas. As pastilhas cerâmicas devem ser designadas pelo seguinte: método de conformação; o grupo relevante e/ou anexo dentre os Anexos A e B abrangendo o grupo específico da pastilha cerâmica; dimensões nominal e de trabalho, e “M” se modular; a natureza da superfície, isto é, esmaltada (GL) ou não esmaltada (UGL). Cada vez que um pedido for realizado, itens como dimensão, espessura, tipo de superfície, cor, relevo, classe de abrasão para pastilhas cerâmicas esmaltadas e outras propriedades devem ser acordados entre as partes interessadas.

Pode-se fazer uma classificação de pastilhas esmaltadas para pisos de acordo com sua classe de resistência à abrasão. Essa classificação não deve ser tomada para fornecer especificações precisas do produto para requisitos específicos.

Classe 0: Pastilhas esmaltadas desta classe não são recomendadas para uso em pisos.

Classe 1: Pisos em áreas que são trafegadas essencialmente por calçados de sola macia ou pés descalços sem sujidades abrasivas (por exemplo, banheiros residenciais, quartos sem acesso direto para área externa).

Classe 2: Pisos em áreas que são trafegadas por calçados de sola macia ou normal, com no máximo pequenas quantidades ocasionais de sujidades abrasivas (por exemplo, salas de estar, mas com exceção de cozinhas, entradas e outras salas que podem ter muito tráfego). Não se aplica a calçados anormais, por exemplo, botas com biqueira.

Classe 3: Pisos em áreas que, com calçado normal, são trafegadas com maior frequência com pequenas quantidades de sujidades abrasivas (por exemplo, cozinhas residenciais, halls, corredores, varandas, galerias e terraços). Não se aplica a calçados anormais, por exemplo, botas com biqueira.

Classe 4: Pisos em áreas que são trafegadas por tráfego regular com alguma sujidade abrasiva em condições mais severas que a Classe 3 (por exemplo, entradas, cozinhas comerciais, hotéis, salas de exposição e venda).

Classe 5: Pisos em áreas sujeitas a tráfego de pedestres durante períodos prolongados com alguma sujidade abrasiva, de forma que as condições sejam as mais severas para as quais as pastilhas esmaltadas devem ser apropriadas (por exemplo, áreas públicas, como centros comerciais, aeroportos, foyers de hotéis, passagens públicas e aplicações industriais).

A operação de organismos de conformidade que realizam validação/verificação

É importante conhecer os princípios gerais e requisitos para a competência, a operação coerente e a imparcialidade de organismos que realizam validação/verificação como atividades de avaliação da conformidade.

A NBR ISO/IEC 17029 de 01/2021 – Avaliação da conformidade – Princípios gerais e requisitos para organismos de validação e verificação contém princípios gerais e requisitos para a competência, a operação coerente e a imparcialidade de organismos que realizam validação/verificação como atividades de avaliação da conformidade. Os organismos que operam de acordo com este documento podem prover validação/verificação como atividade de primeira, segunda e terceira partes. Os organismos podem ser somente organismos de validação, somente organismos de verificação ou prover ambas as atividades.

Este documento é aplicável a organismos de validação/verificação em qualquer setor provendo confirmação de que alegações são plausíveis em relação ao uso pretendido futuro (validação) ou são afirmadas veridicamente (verificação). Todavia, resultados de outras atividades de avaliação da conformidade (por exemplo, ensaios, inspeção e certificação) não são considerados sujeitos a validação/verificação de acordo com este documento. Também não o são as situações em que atividades de validação/verificação são realizadas como etapas em outro processo de avaliação da conformidade.

Este documento é aplicável a qualquer setor, em conjunto com programas de setor específico que contenham requisitos para processos e procedimentos de validação/verificação. Este documento pode ser usado como uma base para a acreditação por organismos de acreditação, avaliação por pares em grupos de avaliação por pares ou outras formas de reconhecimento de organismos de validação/verificação por organizações internacionais ou regionais, governos, autoridades regulamentadoras, proprietários de programas, organismos da indústria, companhias, clientes ou consumidores.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual deve ser a estrutura organizacional e da alta direção?

Qual deve ser o requisito para o pessoal?

Por que o organismo deve ter um processo de gestão para a competência do pessoal?

Por que aplicar um programa de validação/verificação?

Como deve ser feita a contratação dos serviços?

A validação e a verificação como avaliação da conformidade são compreendidas como sendo uma confirmação da confiabilidade de informações declaradas em alegações. Outros termos em uso para o objeto da avaliação por validação e verificação são “declaração”, “afirmação”, “previsão” ou “relatório”. Essas atividades se distinguem de acordo com a linha de tempo da alegação avaliada.

A validação é aplicada a alegações relativas a um uso futuro pretendido ou resultado projetado (confirmação da plausibilidade), enquanto a verificação é aplicada a alegações relativas a eventos que já ocorreram ou a resultados que já foram obtidos (confirmação da veracidade). Uma vez que os requisitos neste documento são de natureza genérica, é necessário operar um programa para a validação/verificação específica. Abaixo uma figura que ilustra a abordagem funcional para avaliação da conformidade, adaptado para os termos e conceitos definidos por este documento.

O programa para a validação/verificação especifica definições, princípios, regras, processos e requisitos adicionais para etapas do processo de validação/verificação, assim como para a competência de validadores/verificadores para um setor específico. Os programas podem ser estruturas legais, normas internacionais, regionais ou nacionais, iniciativas globais, aplicações setoriais, assim como acordos individuais com clientes do organismo de validação/verificação. A validação/verificação provê segurança e dá confiança às partes interessadas na alegação.

O programa pode definir níveis de confiança, por exemplo, um nível de confiança razoável ou limitado. De acordo com a NBR ISO/IEC 17000, a abordagem funcional para a demonstração de que os requisitos especificados são atendidos descreve a avaliação da conformidade como uma série das três funções: seleção; determinação; análise crítica e atestação.

A relação entre os termos e conceitos genéricos definidos pela NBR ISO/IEC 17000 e os termos e conceitos definidos por este Documento é dada na Tabela B.1 da norma. De acordo com essa abordagem funcional, validação e verificação como avaliação da conformidade incluem uma decisão sobre a confirmação da alegação. A decisão sobre se a alegação é conforme (ou não) com os requisitos especificados inicialmente é então emitida pelo organismo de validação/verificação como a declaração de validação/verificação.

Os requisitos especificados podem ser gerais ou detalhados, por exemplo, a alegação ser livre de afirmações distorcidas materiais. O programa aplicável pode definir etapas adicionais no processo de validação/verificação. Ao determinar se a alegação de um cliente pode ser confirmada, organismos de validação/verificação necessitam coletar informações e desenvolver uma compreensão completa relacionadas ao atendimento dos requisitos especificados.

Isso pode incluir uma avaliação apropriada de dados e planos, analisar criticamente a documentação, realizar cálculos alternativos, visitar locais ou entrevistar pessoas. Os requisitos especificados por este documento são comuns para ambas as atividades, validação e verificação. Sempre que um requisito se aplica a somente uma atividade, ele está identificado.

Os organismos de validação/verificação podem ser organismos internos da organização que provê a alegação (primeira parte), organismos que tenham interesse de usuário na alegação (segunda parte) ou organismos que sejam independentes da pessoa ou da organização que provê a alegação e não tenham interesse de usuário naquela alegação (terceira parte). Definindo-se validação/verificação como confirmação, essas atividades se diferenciam de outras ferramentas de avaliação da conformidade, por não resultarem em uma caracterização (ensaio), nem proverem um exame (inspeção) ou um atestado de conformidade para um período definido (certificação).

Todavia, pretende-se que a validação/verificação corresponda a aplicações do sistema de avaliação da conformidade. Tal como relatórios de ensaio de um laboratório podem ser incluídos para propósitos de inspeção, ou a auditoria do sistema de gestão do produtor pode ser usada como uma entrada para a certificação de produto, declarações de validação/verificação podem ser usadas como uma entrada para outra atividade de avaliação da conformidade. Igualmente, os resultados de outras atividades de avaliação da conformidade podem ser usados como uma entrada quando se realizam atividades de validação/verificação.

As próprias declarações de conformidade, emitidas como resultado de outra atividade de avaliação da conformidade, não são consideradas objetos de validação/verificação de acordo com este documento. Isso inclui, por exemplo, a declaração da conformidade de um fornecedor com relação a especificações de produto de acordo com a NBR ISO/IEC 17050, certificados de acordo com a NBR ISO/IEC 17021-1 ou exame e verificação de projeto no contexto de inspeção de acordo com a NBR ISO/IEC 17020.

Além disso, este documento não se aplica a situações em que atividades de validação/verificação são realizadas como etapas no processo de ensaio (NBR ISO/IEC 17025, NBR ISO 15189), inspeção (NBR ISO/IEC 17020) ou certificação (NBR ISO/IEC 17021-1, NBR ISO/IEC 17065) e quando requisitos específicos necessitam ser aplicados para estruturar e realizar esses processos. Exemplos são a validação de método como uma etapa de um ensaio realizado de acordo com a NBR ISO/IEC 17025 e a validação/verificação de projeto no contexto da implementação de um sistema de gestão de acordo com a NBR ISO 9001.

Exemplos atuais para validação/verificação como atividades de avaliação da conformidade incluem alegações relacionadas com emissões de gases de efeito estufa (por exemplo, de acordo com a NBR ISO 14064-3), rotulagem ambiental, declarações de produtos e pegadas (por exemplo, de acordo com a NBR ISO 14020 e a NBR ISO 14040, como declaração ambiental de produto), relatórios ambientais e de sustentabilidade (por exemplo, de acordo com a ISO 14016). Aplicações novas em potencial podem incluir alegações relacionadas com tecnologia de construção, gestão de energia, gestão financeira, sistemas de automação industrial, engenharia de software e de sistemas, inteligência artificial, tecnologia da informação, produtos para saúde e dispositivos médicos, segurança de máquinas, engenharia de segurança e de projeto e responsabilidade social.

Os princípios descritos devem prover a base para os requisitos especificados neste documento. Convém que esses princípios sejam aplicados como orientação para decisões que algumas vezes necessitem ser tomadas para situações imprevistas. Princípios não são requisitos. A intenção geral da validação/verificação é dar confiança para todas as partes de que uma alegação validada/verificada atende aos requisitos especificados.

O valor da validação/verificação é a confiança que é estabelecida por uma avaliação imparcial por um organismo de validação/verificação competente. Partes que têm um interesse em validação/verificação incluem, mas não são limitadas a: clientes dos organismos de validação/verificação; proprietários de programas; usuários das alegações validadas/verificadas; autoridades regulamentadoras.

Um dos princípios para os processos de validação/verificação é a abordagem com base em evidência para tomada de decisão. O processo implementa um método para alcançar conclusões confiáveis e reprodutíveis de validação/verificação e é baseado em evidência objetiva suficiente e apropriada. A declaração de validação/verificação é baseada na evidência coletada por meio de uma validação/verificação objetiva da alegação.

O processo de validação/verificação é documentado e estabelece a base para a conclusão e a decisão relativas à conformidade da alegação com os requisitos especificados. As atividades de validação/verificação, achados, conclusões e declarações, incluindo obstáculos significativos encontrados durante o processo, assim como opiniões divergentes não resolvidas entre o organismo de validação/verificação e o cliente são espelhadas com veracidade e exatidão.

Outro princípio é a imparcialidade em que as decisões são baseadas em evidência objetiva obtida por meio do processo de validação/verificação e não são influenciadas por outros interesses ou partes. Ameaças à imparcialidade podem incluir, mas não são limitadas ao seguinte: interesse próprio: ameaças que resultam de um organismo ou pessoa agindo em seu próprio interesse. Uma preocupação relacionada com validação/verificação, como uma ameaça à imparcialidade, é o interesse financeiro próprio.

Outra ameaça é a autoanálise crítica, em que as ameaças que resultam de um organismo ou pessoa que analisa criticamente o trabalho feito por ele (a) mesmo (a). A familiaridade (ou confiança) é uma ameaça que resulta de um organismo ou pessoa ser demasiadamente familiarizado com ou confiante em outra pessoa ao invés ao invés de procurar evidência para a validação/verificação.

A intimidação é uma ameaça que resulta de um organismo ou pessoa que tem uma percepção de ser coagido (a) aberta ou secretamente, tal como uma ameaça de ser substituído (a) ou relatado (a) a um supervisor. Quanto à competência, o pessoal deve ter o conhecimento, as habilidades, a experiência, o treinamento, a infraestrutura de apoio e a capacidade necessários para realizar eficazmente atividades de validação/verificação.

As informações confidenciais obtidas ou criadas durante as atividades de validação/verificação são salvaguardadas e não são divulgadas inapropriadamente. Um organismo de validação/verificação necessita prover o acesso público ou a divulgação de informações apropriadas sobre o seu processo de validação/verificação. O cliente do organismo de validação/verificação, e não o organismo de validação/verificação, tem a responsabilidade pela alegação e sua conformidade com os requisitos especificados aplicáveis.

O organismo de validação/verificação tem a responsabilidade de basear uma declaração de validação/verificação em evidência objetiva suficiente e apropriada. As partes que tenham um interesse na validação/verificação têm a oportunidade de fazer reclamações. Essas reclamações são adequadamente gerenciadas e resolvidas. Assim, a capacidade de resposta a reclamações é necessária para demonstrar integridade e credibilidade para todos os usuários dos resultados da validação/verificação.

Quanto à abordagem baseada em risco, os organismos de validação/verificação necessitam levar em conta os riscos associados com a provisão de validação/verificação competente, consistente e imparcial. Riscos podem incluir, mas não são limitados àqueles associados com: os objetivos da validação/verificação e os requisitos do programa; competência, coerência e a imparcialidade real, assim como a percebida; questões legais, regulamentares e de responsabilidade civil; a organização cliente onde a validação/verificação esteja sendo realizada e seu sistema de gestão, ambiente operacional, localização geográfica, etc.; a suscetibilidade de qualquer parâmetro incluído na alegação gerar uma afirmação distorcida material, até mesmo se houver um sistema de controle implementado; o nível de confiança a ser alcançado e a correspondente coleta de evidência usada no processo de validação/verificação; a percepção de partes interessadas; as alegações enganosas ou o uso indevido de marcas pelo cliente; o controle de riscos e de oportunidades para melhoria.

O organismo de validação/verificação deve ser uma entidade legal, ou uma parte definida de uma entidade legal, que possa ser responsabilizada legalmente por todas as suas atividades de validação/verificação. Um organismo de validação/verificação governamental é uma entidade legal com base em seu status governamental. O organismo de validação/verificação deve ser responsável e reter autoridade por suas declarações de validação/verificação.

As atividades de validação/verificação devem ser realizadas imparcialmente. O organismo de validação/verificação deve ser responsável pela imparcialidade de suas atividades de validação/verificação e não pode permitir que pressões comerciais, financeiras ou outras comprometam a imparcialidade.

O organismo de validação/verificação deve monitorar suas atividades e seus relacionamentos para identificar ameaças a sua imparcialidade. Esse monitoramento deve incluir os relacionamentos de seu pessoal. Embora os requisitos de imparcialidade neste Documento sejam os mesmos para organismos de primeira, segunda e terceira partes, as entradas e os resultados pertinentes da respectiva avaliação de riscos podem diferir.

A identificação de ameaças à imparcialidade pode incluir a consulta equilibrada com partes interessadas apropriadas, não predominando interesse particular, para aconselhamento sobre assuntos que afetem a imparcialidade, incluindo transparência e a percepção pública. Uma maneira de consulta é pelo uso de um comitê dessas partes interessadas. O programa pode tornar mandatório o requisito de consulta com partes interessadas apropriadas para aconselhamento sobre assuntos que afetem a imparcialidade.

Um relacionamento pode ser baseado em propriedade, governança, gestão, pessoal, recursos compartilhados, finanças, contratos, marketing (incluindo marcas). Tais relacionamentos não necessariamente apresentam a um organismo de validação/verificação uma ameaça à imparcialidade. Se uma ameaça à imparcialidade for identificada, seu efeito deve ser eliminado ou minimizado de modo que a imparcialidade não seja comprometida.

O organismo de validação/verificação deve ter o compromisso da Alta Direção com a imparcialidade. O organismo de validação/verificação deve ter um compromisso disponível publicamente de que ele compreende a importância da imparcialidade ao realizar suas atividades de validação/verificação e de que ele gerencia conflitos de interesse e assegura objetividade.

A análise crítica (9.6) e a decisão (9.7) devem ser feitas por pessoal diferente daquele que realiza a execução da validação/verificação (9.5). Quando o organismo de validação/verificação provê validação e verificação a um mesmo cliente, ele deve considerar a ameaça potencial à imparcialidade (por exemplo, autoanálise crítica e familiaridade) e deve gerir esse risco convenientemente. O organismo de validação/verificação não pode oferecer ou prover consultoria e validação/verificação para a mesma alegação de um mesmo cliente.

Quando o relacionamento entre um organismo que provê consultoria e o organismo de validação/verificação representa uma ameaça inaceitável para a imparcialidade do organismo de validação/verificação, o organismo de validação/verificação não pode prover atividades de validação/verificação para clientes que recebam consultoria relacionada com a mesma alegação. Isso inclui clientes potenciais com os quais o organismo de validação/verificação esteja pré-contratado.

As atividades do organismo de validação/verificação não podem ser comercializadas ou oferecidas como se fossem ligadas às atividades de qualquer organização que provê consultoria. O organismo de validação/verificação deve tomar ação quando lhe for dada ciência (por exemplo, via uma reclamação) de ligações inapropriadas com, ou anúncios por, qualquer organização de consultoria que declare ou deixe implícito que a validação/verificação seria mais simples, mais fácil, mais rápida ou menos custosa se o organismo de validação/verificação fosse usado.

Um organismo de validação/verificação não pode declarar ou deixar implícito que a validação/verificação seria mais simples, mais fácil, mais rápida ou menos custosa se uma organização de consultoria especificada fosse usada. O organismo de validação/verificação deve tomar ação para responder a quaisquer ameaças a sua imparcialidade resultantes das ações de outras pessoas, organismos ou organizações. Isso inclui as ações daqueles organismos para os quais as atividades de validação/verificação forem terceirizadas.

A gestão de serviço em tecnologia da informação (TI)

Deve-se entender que a organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de TI de uma grande corporação. A organização gerencia e entrega serviços aos clientes e pode também ser referida como um provedor de serviço.

A NBR ISO/IEC 20000-2 de 01/2021 – Tecnologia da informação – Gestão de serviço – Parte 2: Orientação para aplicação de sistemas de gestão de serviço fornece orientação na aplicação de um sistema de gestão de serviço (SGS) baseado na ABNT NBR ISO/IEC 20000-1. Ele fornece exemplos e recomendações para permitir às organizações a interpretar e aplicar ABNT NBR ISO/IEC 20000-1, incluindo referências a outras partes da ISO/IEC 20000 e outras normas pertinentes. A figura abaixo ilustra um SGS com o conteúdo das seções da NBR ISO/IEC 20000-1. Isso não representa uma estrutura hierárquica, sequência ou níveis de autoridade.

A estrutura de seções visa fornecer uma apresentação coerente de requisitos, em vez de um modelo para documentar políticas, objetivos e processos de uma organização. Cada organização pode escolher como combinar os requisitos dentro de processos. O relacionamento entre cada organização e seus clientes, usuários e outras partes interessadas influencia como os processos são implementados.

No entanto, um SGS conforme desenhado por uma organização não pode excluir qualquer dos requisitos especificados na NBR ISO/IEC 20000-1. O termo serviço, conforme usado neste documento, se refere aos serviços no escopo do SGS. O termo organização, conforme usado neste documento, se refere à organização no escopo do SGS.

A organização no escopo do SGS pode ser parte de uma organização maior, por exemplo, um departamento de TI de uma grande corporação. A organização gerencia e entrega serviços aos clientes e pode também ser referida como um provedor de serviço. Qualquer uso dos termos serviço ou organização com um intuito diferente é distinguido claramente neste documento.

O termo entregue, conforme usado neste documento, pode ser interpretado como todas as atividades do ciclo de vida de serviço que são executadas além das atividades operacionais diárias. Atividades do ciclo de vida de serviço incluem planejamento, desenho, transição, entrega e melhoria. A orientação neste documento é genérica e visa ser aplicável a qualquer organização aplicando um SGS, independentemente do tipo ou tamanho da organização, ou a natureza dos serviços entregues.

Enquanto isto pode ser usado independentemente do tipo ou tamanho da organização, ou a natureza dos serviços entregues, a NBR ISO/IEC 20000-1 tem suas raízes na TI. É destinada ao gerenciamento de serviços que usem tecnologia e informação digital. O exemplo dado neste documento ilustra uma variedade de usos da ISO/IEC 20000-1.

O provedor de serviço presta contas pelo SGS e, portanto, não pode pedir a outra parte para cumprir os requisitos das Seções 4 e 5 da NBR ISO/IEC 20000-1:2020. Por exemplo, a organização não pode pedir a outra parte para fornecer a Alta Direção e demonstrar comprometimento da Alta Direção ou demonstrar o controle de partes envolvidas no ciclo de vida de serviço.

Algumas atividades da ISO/IEC20000-1:2020, Seções 4 e 5 podem ser executadas por outra parte, sob a gestão da organização. Por exemplo, uma organização pode pedir para outra parte para criar o plano de gestão de serviço inicial como um documento principal para o SGS. O plano, uma vez criado e acordado, é de responsabilidade direta e é mantido pela organização.

Nestes exemplos, a organização está usando outras partes para atividades curtas e específicas. A organização tem a responsabilização, autoridade e responsabilidade pelo SGS. A organização pode, portanto, demonstrar evidência de cumprimento de todos os requisitos da NBR ISO/IEC 20000-1:2018, Seções 4 e 5.

Para a ISO/IEC 20000-1:2020, Seções 6 a 10, uma organização pode mostrar evidência de cumprir ela mesma todos os requisitos. Alternativamente, uma organização pode mostrar evidência de reter a prestação de contas pelos requisitos quando outras partes estão envolvidas em cumprir os requisitos da ISO/IEC 20000-1:2020, Seções 6 a 10.

O controle de outras partes envolvidas no ciclo de vida pode ser demonstrado pela organização (ver 8.2.3). Por exemplo, a organização pode demonstrar evidência de controles para outra parte que esteja fornecendo componentes ou operando a central de serviço incluindo o processo de gerenciamento de incidente. A organização não pode demonstrar conformidade aos requisitos da NBR ISO/IEC 20000-1:2020 se outras partes forem usadas para prover ou operar todos os serviços, componentes de serviço ou processos dentro do escopo do SGS.

No entanto, se outras partes fornecerem ou operarem apenas alguns dos serviços, componentes de serviço ou processos, a organização pode normalmente demonstrar evidência de cumprimento dos requisitos especificados na ABNT NBR ISO/IEC 20000-1. O escopo deste documento exclui a especificação de produtos ou ferramentas. No entanto, a NBR ISO/IEC 20000-1 e este documento podem ser usados para ajudar com o desenvolvimento ou na aquisição de produtos ou ferramentas que apoiem a operação de um SGS.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual o propósito da atividade Liderança?

Qual o propósito da atividade Política?

O que fazer em relação às ações para endereçar riscos e oportunidades?

Quais devem ser os objetivos de gestão de serviço e o planejamento para alcançá-los?

Este documento provê orientação para estabelecer, implementar, manter e melhorar continuamente um sistema de gestão de serviço (SGS). Um SGS suporta o gerenciamento do ciclo de vida do serviço, incluindo o planejamento, desenho, transição, entrega e melhoria de serviços, que cumprem requisitos acordados e entregam valor para clientes, usuários e para a organização que entrega os serviços.

A adoção de um SGS é uma decisão estratégica para uma organização e é influenciada pelos objetivos da organização, pelo órgão de governança, por outras partes envolvidas no ciclo de vida do serviço e pela necessidade por serviços efetivos e resilientes. A orientação neste documento se alinha à NBR ISO/IEC 20000-1:2020. Este documento (NBR ISO/IEC 20000-2) é intencionalmente independente de orientação ao gerenciamento de qualquer tipo específico de serviço.

A organização pode usar uma combinação de modelos geralmente aceitos e sua própria experiência. A melhoria para gerenciamento de serviço pode usar metodologias de melhoria comuns e aplicá-las ao SGS e aos serviços. Ferramentas apropriadas para gerenciamento de serviços podem ser usadas para suportar o SGS. A implementação e a operação de um SGS incluem a visibilidade no dia a dia, controle de serviço e melhoria contínua, resultando em grande eficácia e eficiência. A melhoria para gerenciamento de serviço se aplica ao SGS e aos serviços.

A estrutura de seções neste documento (por exemplo, numeração de seção e sequência) se alinha com a NBR ISO/IEC 20000-1:2020 e os termos usados neste documento se alinham com a NBR ISO/IEC 20000-1:2020 e a ISO/IEC 20000-10:2018. A organização determina as questões internas e externas pertinentes ao seu propósito que afetam sua habilidade de alcançar os resultados pretendidos do SGS.

O propósito disso é definir o contexto, determinando aquelas questões que forem pertinentes ao propósito da organização e que influenciem sua habilidade de alcançar os resultados pretendidos do SGS. Estes resultados incluem a entrega de valor aos seus clientes.

As questões podem variar em, por exemplo, interna ou externa, positiva ou negativa. Todas as questões em conjunto fornecem o contexto básico em que a organização estabelece seu SGS. A palavra questão neste contexto pode ser fatores ou atributos que tenham um impacto positivo ou negativo.

Estes são tópicos importantes, fatores ou atributos para a organização no contexto de sua habilidade para entregar serviços de uma qualidade acordada aos seus clientes. Para implementar um SGS com sucesso, a organização identifica e documenta seu contexto interno e externo. O contexto inclui a natureza da organização, as necessidades e expectativas de outras partes interessadas que tenham um interesse no SGS e no escopo do SGS em si.

Baseado em uma compreensão destas questões, o SGS pode ser estabelecido. Já no estágio de planejamento, convém que a organização estabeleça como a NBR ISO/IEC 20000-1 é aplicável ao contexto da organização, de forma que o escopo inicial do SGS possa ser documentado. A falha na identificação do contexto, das partes interessadas e do escopo pode resultar em um SGS sem sucesso ou ineficiente.

Devido às questões internas e externas poderem mudar, a organização pode analisar criticamente seu contexto em intervalos planejados e por meio de análises críticas pela direção. Como exemplo, pode-se dizer que as questões internas podem incluir políticas, recursos, capacidades, pessoas, habilidades e conhecimento, estrutura organizacional, governança, cultura, demandas internas de clientes e finanças.

Questões externas podem incluir mercado, política, economia e influência ambiental, competição, leis e regulamentações, demandas externas de clientes e a probabilidade de eventos que possam afetar os serviços. Uma lista de questões internas e externas que afetem o SGS é desenvolvida e convém que seja documentada.

O estabelecimento do contexto da organização é concluído no nível da Alta Direção, que pode ter a assistência de analistas técnicos e de negócio. Dessa forma, a organização determina as partes interessadas relevantes ao SGS e aos serviços e seus requisitos. O propósito disso é assegurar que a organização identifique requisitos de partes interessadas pertinentes para apoiar o SGS a entregar serviços.

Uma parte interessada é uma pessoa ou grupo que pode afetar ou ser afetado por uma decisão ou atividade relacionada ao SGS. Elas podem ser internas ou externas à organização. Uma parte interessada também pode ser chamada de stakeholder. Exemplo: partes interessadas podem incluir clientes e representantes de clientes, altos executivos, representantes da gestão, gestão de contas, pessoal, funções de suporte dentro da organização (por exemplo, suporte de tecnologia, recursos humanos, instalações, jurídico, recrutamento, compras), fornecedores, parceiros, órgãos reguladores, auditores, associações comerciais e profissionais e concorrentes.

A organização identifica as partes interessadas e sua relevância ao atingimento de objetivos de gestão de serviço ou à entrega de serviços, incluindo seus requisitos para o SGS ou os serviços. Uma parte interessada pode afetar o desempenho e efetividade do SGS e os serviços, influenciar o mercado ou criar e mitigar riscos. Os requisitos de partes interessadas podem incluir o seguinte: requisitos de serviço, como metas de nível de serviço, capacidade, desempenho, requisitos de nível de serviço, continuidade de serviço, segurança da informação ou requisitos de disponibilidade; requisitos legais e regulamentares impostos por autoridades externas, como leis e regulamentos nacionais ou regionais; e obrigações contratuais para parceiros, clientes ou fornecedores.

A organização documenta uma lista de partes interessadas com seus interesses específicos e seus requisitos para o SGS e os serviços. A identificação de partes interessadas é concluída no nível da Alta Direção, que pode ter a assistência de analistas técnicos e de negócio.

A organização determina os limites e a aplicabilidade do SGS para estabelecer seu escopo. O propósito disso é usar a informação coletada sobre as questões e os requisitos das partes interessadas para definir exatamente qual parte da organização e quais serviços serão incluídos dentro do SGS. Estabelecer o escopo é, portanto, uma atividade principal que determina o fundamento necessário para as outras atividades na implementação do SGS.

A organização considera as seguintes entradas ao documentar o escopo do SGS: as questões internas e externas; as necessidades e expectativas de partes interessadas internas e externas; quais serviços ou tipos de serviços são oferecidos ou todos os serviços, por exemplo: um único serviço, grupo de serviços ou todos os serviços; os serviços de TI, serviços em nuvem; os serviços de tecnologia para apoiar gerenciamento de instalações, terceirização de processos de negócio; os serviços de tecnologia para apoiar quaisquer setores de negócio, como telecomunicações, finanças, varejo, turismo, utilidades; o número e tipo de clientes, como por exemplo, um único cliente, um setor específico de clientes, clientes externos ou internos; as localidades em que os serviços serão entregues.

Os serviços a ser considerados podem ser todos ou alguns dos serviços que são acordados para estar no escopo do SGS. Os serviços no escopo do SGS podem ser todos ou alguns dos serviços entregues pela organização. Os serviços no escopo do SGS podem estar listados individualmente ou agrupados.

O nome da organização que gerencia e fornece os serviços está incluso; no entanto, não convém que a declaração de escopo inclua os nomes de outras partes contribuindo para a entrega do serviço, como parceiros de terceirização. O propósito das atividades requeridas é assegurar que todos os elementos requeridos estejam montados para estabelecer, implementar, manter e melhorar continuamente o SGS.

Uma vez que, neste contexto, as partes interessadas, os seus requisitos e o escopo tenham sido acordados, a organização decide como os requisitos na NBR ISO/IEC 20000-1 serão implementados na forma de processos. Por exemplo, os processos no SGS irão refletir exatamente as Seções na NBR ISO/IEC 20000-1 ou serão combinados, separados ou nomeados de maneira diferente?

Para ganhar o máximo valor dos processos, é essencial manter os processos existentes. Uma abordagem para uma rotina de avaliação de processos irá beneficiar a organização. Enquanto os processos são implantados e implementados, análises críticas de rotina incluem uma análise crítica de seu desempenho para otimizar os resultados do processo.

Os planos e aspirações da organização podem ser considerados ao estabelecer e implementar o SGS, de forma que a manutenção e a melhoria possam ser executadas eficientemente. A organização documenta o SGS para cumprir os requisitos da NBR ISO/IEC 20000-1:2020, 7.5. A Alta Direção fornece a base e a autoridade para proceder com o estabelecimento do SGS. A responsabilidade por estabelecer o SGS pode então ser delegada para pessoal autorizado na organização.

As características técnicas dos veículos acessíveis para o transporte coletivo

Deve-se entender as especificações técnicas mínimas para as características construtivas e os equipamentos auxiliares aplicáveis na fabricação dos veículos acessíveis de categoria M3 com características urbanas, para transporte coletivo de passageiros.

A NBR 15570 de 12/2020 – Fabricação de veículos acessíveis de categoria M3 com características urbanas para transporte coletivo de passageiros — Especificações técnicas estabelece as especificações técnicas mínimas para as características construtivas e os equipamentos auxiliares aplicáveis na fabricação dos veículos acessíveis de categoria M3 com características urbanas, para transporte coletivo de passageiros. Para ser considerado acessível, o veículo deve estar em conformidade com os requisitos descritos na NBR 14022, podendo estar equipado com um dos dispositivos para transposição de fronteira dispostos na Seção 38.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são as dimensões do módulo de referência (MR)?

Como fazer a determinação da área total disponível para passageiros (S0)?

Qual a área de ocupação por passageiro em pé por metro quadrado?

Qual deve ser o sistema de suspensão dos veículos?

Deve-se ressaltar que a escolha pelo tipo de veículo e dispositivo para transposição de fronteira deve considerar, basicamente, as características do sistema de transporte; a infraestrutura do local de embarque e desembarque; a fronteira (vão e desnível) a ser transposta pelas pessoas com deficiência ou com mobilidade reduzida para o embarque e desembarque do veículo; a demanda de passageiros e a capacidade de transporte do veículo; as características físicas do perfil viário que possam dificultar ou impedir a plena circulação dos veículos; e as condições geográficas e topográficas relativas aos trajetos das linhas comerciais. Os veículos são classificados considerando os requisitos específicos listados a seguir e na tabela abaixo: tipo; complementação de tipo; categoria; capacidade de passageiros sentados e em pé; peso bruto total (PBT); e comprimento total.

O projeto veicular deve considerar os valores de referência apresentados na tabela acima. Para estabelecer as condições de acessibilidade e de transporte, são consideradas referências para a cadeira de rodas: 950 mm a 1.150 mm para o comprimento; 600 mm a 700 mm para a largura; 900 mm a 930 mm para a altura; 1.300 mm por 800 mm como o módulo de referência (MR) para projeção no piso do veículo da área ocupada por uma pessoa utilizando cadeira de rodas motorizada ou não.

As estruturas tanto da carroceria como do chassi-plataforma devem ser projetadas para atender a todas as especificações funcionais, durante um período mínimo de dez anos, equivalente a 1.000.000 km rodados. Os projetos de carroceria e chassi-plataforma devem estar integrados em relação às forças que atuam no conjunto e, portanto, as estruturas devem ser dimensionadas para atender o seguinte: suportar solicitações advindas da operação, considerando os respectivos graus de interferência existentes no perfil viário, como lombadas, valetas, curvas críticas, aclives acentuados e concordâncias entre vias; e para veículos movidos a partir de outras fontes energéticas que não a óleo diesel, suportar a eventual carga adicional devida à instalação dos dispositivos e sistemas de armazenagem.

O piso do veículo deve ser projetado e construído para resistir a uma carga característica de 5.000 N/m² na área do corredor interno de circulação e 2.000 N/m² na área das poltronas de passageiros e dos operadores. Os materiais utilizados devem ser dimensionados para resistir às cargas descritas nessa norma e também para não permitir um deslocamento maior que L/350, sendo L o vão entre as transversinas (vão máximo entre apoios) de suporte do painel do piso, quando submetidos às mesmas cargas.

Os painéis de madeira, quando utilizados no piso, devem ser do tipo estrutural, colados com adesivos estruturais à prova d’água, conforme a NBR ISO 12466-1 e NBR ISO 12466-2, compostos com espécies permeáveis ao tratamento preservativo. Na utilização de madeira, compensado naval ou material equivalente, como contrapiso, deve haver tratamento específico para evitar apodrecimento, ação de fungos, entre outros.

Os painéis de madeira utilizados no piso devem ser tratados contra ação deterioradora de agentes biológicos (fungos e insetos xilófagos), de acordo com a NBR 7190, em usina de preservação de madeira (UPM), sob pressão, pelo processo de célula cheia ou outro comprovadamente equivalente. Os seguintes produtos preservativos são estabelecidos para tratamento dos painéis: CCA-C base óxido (cobre, cromo e arsênio), CCB base óxido (cobre, cromo e boro) e CA-B (tebuconazole e cobre).

Outros produtos podem ser utilizados, desde que comprovada sua eficiência técnica para as condições de uso do painel de madeira. Todos os produtos preservativos para tratamento de pisos devem estar devidamente registrados no Instituto Brasileiro do Meio Ambiente e Recursos Naturais Renováveis (Ibama). O valor de retenção mínimo para os produtos CCA-C e CCB é de 6,5 kg de ingredientes ativos por metro cúbico de madeira tratável e para o produto CA-B é de 3,3 kg de ingredientes ativos por metro cúbico de madeira tratável. Os valores devem ser comprovados pelo fabricante.

A penetração do produto preservativo deve ser total no painel. Todas as partes estruturais do piso, incluindo a parte interna da saia da carroceria, quando construídas com materiais sujeitos à corrosão, devem receber tratamentos anticorrosivo e antirruído. No sistema elétrico deve haver um painel de proteção contra sobrecarga (fusíveis e relés), instalado em local protegido contra impactos e penetração de água e poeira, porém com fácil acesso à manutenção. O chicote do sistema elétrico (chassi e carroceria) deve possuir identificação de cada função por tarja colorida ou numeração.

O sistema elétrico do chassi deve estar preparado para receber a demanda dos equipamentos e dos dispositivos especificados pelo poder concedente de transporte e pelo fabricante da carroceria, como, por exemplo, validador eletrônico de passagens, dispositivo para transposição de fronteira (motorizado), painel eletrônico, sistema de rastreamento, iluminação do veículo, ventilação interna, sistema de monitoramento interno e sistemas de comunicação ao passageiro. O compartimento das baterias deve ter concepção fechada, sendo bem ventilado para permitir a dissipação de gases.

O compartimento de bateria (s) deve permitir fácil acesso ao ato de manutenção e substituição da (s) bateria (s). Veículos com o compartimento sem espaço suficiente para esta atividade devem ser providos de bandejas-suporte para bateria (s) com sistema de deslocamento. O tanque de combustível e a tubulação para abastecimento não podem estar localizados no interior do veículo ou compartimento do motor.

A montagem do sistema de combustível deve projetar vazamentos para o solo e evitar contato com o sistema de exaustão. Para a proteção contra riscos de incêndio, devem ser tomadas as devidas precauções, por meio de uma disposição adequada do compartimento do motor ou por orifícios de drenagem, para evitar o acúmulo de combustível, óleo lubrificante ou qualquer outra substância combustível em qualquer parte do compartimento do motor.

Não podem ser utilizados no compartimento do motor quaisquer materiais de isolamento acústico propagadores de chamas. Nenhum tipo de combustível (por exemplo, óleo diesel, gasolina, etanol, entre outros) ou equipamento com tensão acima de 400 V deve estar localizado dentro de um raio de 100 mm do sistema de exaustão do motor, a menos que devidamente protegido por material isolante.

O veículo deve estar equipado com extintor de incêndio, próximo e de fácil acesso ao motorista. A capacidade extintora mínima deve estar em conformidade com a regulamentação estabelecida pelo Contran. Deve ser instalada uma conexão para reboque na parte dianteira. É recomendada a instalação de uma conexão para reboque na parte traseira do veículo.

As conexões devem suportar operação de reboque do veículo em ordem de marcha, em rampas pavimentadas que possuam até 6% de inclinação, além de trajetórias circulares, conforme estabelecido na Seção 18. Para maior segurança nas operações de reboque, o veículo equipado com freio pneumático deve possuir na parte dianteira, em lugar de fácil acesso e com indicação clara, uma tomada para receber ar comprimido e um conector para receber sinais elétricos.

O sistema de exaustão e o respectivo bocal de saída podem ser construídos externa ou internamente à carroceria, porém devidamente protegidos, para não colocar em risco a integridade física das pessoas. Considerando as características construtivas e a posição do motor, a tubulação do sistema de exaustão e o seu bocal de saída devem ser instalados: em posição horizontal, com saída na parte traseira do veículo; ou em posição vertical, com saída próxima ao teto do veículo.

No caso dos ônibus articulados, biarticulados e veículos de piso baixo, equipados com motor dianteiro ou central, a tubulação do sistema de exaustão e o seu bocal de saída podem ser instalados em posição horizontal, com saída na lateral (entre eixos), devido às restrições técnicas. O bocal de saída, seja lateral ou traseiro, deve estar o mais próximo possível da extremidade da carroceria.

Para o posicionamento do bocal de saída, deve ser considerado o acesso para realização dos ensaios de opacidade, em valeta específica ou em via pública. A tubulação do sistema de exaustão, quando instalada na traseira do veículo em posição vertical, deve dispor de bocal de saída posicionado o mais próximo possível ao nível do teto.

A tubulação do sistema de exaustão, quando instalada na traseira em posição horizontal (em direção ao para-choque) ou no entre eixos do veículo (em direção à lateral), deve ter o bocal de saída inclinado para baixo, com ângulo mínimo de 15° em relação ao plano horizontal. Os veículos classificados como padron (exclusivamente de piso baixo), articulado (piso alto e piso baixo) e biarticulado (piso alto e piso baixo) devem estar equipados com transmissão automática, transmissão automatizada, transmissão variável contínua ou outro sistema que realize a troca de marchas e velocidades sem a intervenção do motorista.

A gestão de qualidade na fabricação de preservativos

Saiba quais são as orientações para o uso das NBR ISO 4074 e NBR ISO 23409 e sobre as questões de qualidade a serem consideradas durante o desenvolvimento, fabricação, verificação da qualidade e aquisição de preservativos.

A NBR ISO 16038 de 11/2020 – Preservativos masculinos — Orientação para o uso das NBR ISO 4074 e NBR ISO 23409 na gestão da qualidade de preservativos fornece orientação para o uso das NBR ISO 4074 e NBR ISO 23409, e aborda questões de qualidade a serem consideradas durante o desenvolvimento, fabricação, verificação da qualidade e aquisição de preservativos. Este documento engloba os aspectos de sistemas de gestão da qualidade no projeto, fabricação e entrega de preservativos, com ênfase no desempenho, segurança e confiabilidade.

Os preservativos masculinos são feitos essencialmente de látex de borracha natural e, neste caso, são aplicáveis os requisitos da NBR ISO 4074, ou de materiais sintéticos e/ou misturas de materiais sintéticos e de látex de borracha natural e, neste caso, são aplicáveis os requisitos da NBR ISO 23409. Este documento delineia os aspectos aplicáveis para os dois tipos de preservativos, com esclarecimentos específicos onde indicado.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Por que controlar o nível de nitrosaminas?

Quais as especificações para a qualidade na aquisição?

Quais os requisitos para as dimensões dos preservativos?

O que deve ser feito em relação à compatibilidade de materiais?

Os preservativos são dispositivos médicos usados para contracepção e para prevenção de infecções transmitidas sexualmente. A NBR ISO 4074 é uma norma de qualidade para preservativos de látex de borracha natural, e a NBR ISO 23409, para preservativos feitos de materiais sintéticos. Elas são documentos de referência para protocolos normalizados de ensaio de qualidade do produto final e uma especificação de linha de base para atributos críticos que afetam a segurança e a eficiência do preservativo.

Elas são aplicadas por fabricantes, setores de compra, organismos reguladores e laboratórios de ensaio. O uso da NBR ISO 4074 e/ou NBR ISO 23409 não garante consistência em qualidade por si só. Alta qualidade consistente no custo de produção mais baixo possível só é obtido por meio de um regime denominado gestão da qualidade, pelo qual a qualidade é incorporada ao produto e garantida em todos os momentos dos processos de projeto, planejamento, produção e compra.

Assim, convém que este documento leve à melhoria constante na fabricação, aquisição e processos de ensaio. Convém que os requisitos especiais de compradores e consumidores também recebam a consideração devida ao se aplicar a NBR ISO 4074 ou NBR ISO 23409, pois elas são gerais por conceito e não cobrem todas as circunstâncias de forma completa.

Este documento apresenta orientação para fabricantes, compradores e laboratórios de ensaio terceirizados sobre a implementação e aplicação da NBR ISO 4074 na fabricação de preservativos, e para compradores sobre como aplicar a NBR ISO 4074 ou NBR ISO 23409 e verificar se os preservativos entregues estão em conformidade com a especificação, como indicado. Os preservativos considerados aceitáveis atendem ou superam os requisitos mínimos especificados pela NBR ISO 4074 ou NBR ISO 23409, conforme aplicável.

Não é possível, nem requerido, sujeitar preservativos a ensaios de usuários lote por lote. Por esta razão, certas avaliações somente são executadas no caso de uma validação pré-venda; por exemplo, no caso de modelos novos ou com modificações significativas. Os requisitos de validação de projeto normalmente incluem todos os requisitos de validação das boas práticas de fabricação (BPF) e os requisitos de validação das NBR ISO 9001 e NBR ISO 13485; no momento, estes não estão cobertos pelas NBR ISO 4074 e NBR ISO 23409, mas são geralmente incluídos pelas autoridades regulatórias como pré-requisitos de registro de novos projetos de dispositivos médicos.

No entanto, considerações de projeto, como ensaio de estabilidade etc., são cobertas pela NBR ISO 4074 e a avaliação de propriedades de barreira por experimentos clínicos e a determinação de propriedades de ruptura é coberta pela NBR ISO 23409. As NBR ISO 4074 e NBR ISO 23409 se preocupam primeiramente com o ensaio de produtos acabados realizados para monitorar ou verificar se os preservativos foram fabricados com um nível adequado de consistência na qualidade.

Para tal propósito, foram projetados ensaios que podem ser realizados de forma rápida e econômica. Os requisitos das NBR ISO 4074 e NBR ISO 23409 são baseados nas propriedades que, como se acredita com base no conhecimento atual, são relevantes para o desempenho de preservativos em uso normal. Ainda assim, algumas propriedades importantes de preservativos são difíceis de definir em termos quantitativos, por falta de estudos controlados, pela ausência de ensaios práticos e econômicos, e pela necessidade de especificações diferentes que se ajustem a usuários diferentes. Portanto, a NBR ISO 4074 e a NBR ISO 23409 têm o foco nas propriedades essenciais em que limites são claramente definidos. Outras propriedades são discutidas somente em termos gerais e são destinadas a serem expandidas por meio de registros de fabricação apropriados, certificação pelo fabricante ou especificações de consumidores. Este documento também discute como lidar com outras questões importantes relacionadas, não cobertas pelas NBR ISO 4074 e NBR ISO 23409. Este documento tem o intuito de auxiliar o usuário das NBR ISO 4074 e NBR ISO 23409 a compreender quaisquer riscos que possam ser associados ao uso de preservativos.

Também ajuda a decidir se estes riscos são aceitáveis quando comparados aos benefícios recebidos pelo usuário de preservativos. A NBR ISO 4074 e a NBR ISO 23409 também ajudam a avaliar se os produtos são comprovadamente seguros e se oferecem proteção à saúde. Uma boa comunicação entre o comprador e o fabricante resulta na entrega de produtos satisfatórios e seguros, evitando assim ensaios desnecessários ou especificações inadequadas, e então minimizando o custo de ensaios de conformidade.

Sendo dispositivos médicos, os preservativos estão sujeitos a regulamentações em muitos países. Os requisitos para gestão da qualidade são apresentados em normas como NBR ISO 9001 e NBR ISO 13485. A NBR ISO 9001 tem base na abordagem de se alcançar excelência empresarial por meio da gestão da qualidade. Pelo fato de o preservativo ser um dispositivo médico, é apropriado que a NBR ISO 13485 seja aplicada para gestão da qualidade como parte da conformidade com requisitos regulatórios.

O preservativo é um dispositivo médico de uso único cujo desempenho e segurança dependem do projeto e do processo de fabricação. Novos projetos de preservativos podem requerer ensaio clínico, diversos outros ensaios e análise em uma base limitada para propósitos de validação, como determinação do prazo de validade (ensaio de tipo) e avaliação de riscos.

Estes requisitos são geralmente prescritos por autoridades de licenciamento e os dados gerados se tornam parte do arquivo principal do produto. Diretrizes estão disponíveis na NBR ISO 13485 e nos requisitos das Boas Práticas de Fabricação (BPF). Quando novos produtos são desenvolvidos, convém que o projeto esteja em conformidade com os requisitos de controle de projeto, como determinado na NBR ISO 13485, e nos requisitos BPF aplicáveis.

Convém que os princípios de controle de projeto sejam aplicáveis aos parâmetros, incluindo o formato do preservativo; as dimensões; os componentes críticos na formulação, como materiais de base, antioxidantes, vulcanizadores, estabilizadores, corantes, etc.; os lubrificantes e aditivos como sabor; os lubrificantes adicionais, etc.; e os materiais de embalagem. Convém que a segurança dos materiais usados seja analisada criticamente e garantida em conformidade com requisitos aplicáveis.

Convém que atividades de controle de projeto sejam documentadas como parte do sistema de gestão da qualidade, analisadas criticamente e atualizadas quando agências reguladoras e/ou necessidades de consumidores justificarem mudanças. Sempre que mudanças significativas forem feitas à formulação ou processo que possa afetar substancialmente o desempenho e/ou a segurança dos preservativos, convém que estas mudanças sejam avaliadas, validadas e documentadas. Exemplo: mudanças nos tipos de formulação, mudanças no lubrificante, mudanças no material de embalagem (individual) primária, mudanças no processo de percolação.

Uma mudança significativa é descrita como qualquer mudança feita no projeto ou processo aprovado com o escopo para materiais, incluindo embalagem, formulação, processo de fabricação, instalações ou equipamento, que podem impactar o desempenho, utilização destinada, prazo de validade ou outros aspectos de segurança, e que não é possível que sejam claramente excluídos por uma análise de risco. Convém que as validações de processos sejam executadas em conformidade com os requisitos da NBR ISO 9001 e NBR ISO 13485.

O projeto de preservativos sintéticos e os materiais usados resultam da consideração da variedade de materiais possíveis e da necessidade de atender aos requisitos de eficiência, propriedades adequadas de barreira e força mecânica. A eficiência é avaliada por meio de ensaios com vírus substitutos, usando Phi-X174 bacteriófago, e então por experimentos clínicos, usando comparação com preservativos de látex de borracha natural como referência.

Orientação sobre condução de ensaios de penetração viral in vitro é apresentada em documentos como as Diretrizes USFDA e em literatura publicada. Convém que a penetração do Phi-X174 bacteriófago no projeto de ensaio de preservativo seja avaliada com referência ao projeto aprovado e a níveis publicados na literatura. O nível da mediana da penetração foi reportado como 7 × 10 (−4) mL. Detalhes sobre condução de ensaios de penetração viral, incluindo o limite de detecção do método e interpretação estatística dos resultados, são apresentados na NBR ISO 23409:2017, Anexo G.

Convém que a validação de projeto seja usada como a base para assegurar que parâmetros de projeto, como dimensões, formulação, segurança de componentes e biocompatibilidade, estabilidade e alegações de prazo de validade, materiais de embalagem e de finalização etc., sejam adequados. Convém que os estudos de biocompatibilidade sejam feitos de acordo com os requisitos da NBR ISO 10993-1, ISO 10993-5 e ISO 10993-10, e convém que os relatórios sejam avaliados por um toxicologista qualificado.

Quando apropriado ou necessário, como quando houver uma alteração significativa na formulação, convém que estudos de irritação de pele e uma avaliação de segurança sejam realizados e documentados como parte das atividades de controle de projeto. Convém que os compradores, incluindo agências de aquisição, além de se assegurarem que os preservativos estejam em conformidade com a NBR ISO 4074 ou NBR ISO 23409, interajam com fabricantes na especificação de parâmetros, caso os métodos especificados na NBR ISO 4074 e NBR ISO 23409 não sejam aplicáveis.

Os parâmetros incluem dimensões, tipo e quantidade de lubrificante, tolerância na quantidade de lubrificante acordada entre o fabricante e as agências de aquisição, método de determinação de lubrificante, tipo de embalagem, configuração de embalagem secundária e terciária, e rotulagem específica. Convém que a forma, cor e funcionalidades adicionais, se houver, também sejam declaradas pela agência de aquisição e acordadas com o fabricante.

Convém que quaisquer especificações adicionais sejam comunicadas aos laboratórios de ensaio para que as especificações corretas sejam aplicadas nos ensaios dos produtos. Uma vez que preservativos são dispositivos médicos, pode ser adequada a condução de experimentos clínicos em vez de depender de dados laboratoriais quando mudanças significativas forem feitas no projeto, tipo de lubrificante, etc., e/ou quando novos materiais forem usados e novas alegações forem feitas.

Experimentos clínicos também podem ser conduzidos para comparar características específicas de diferentes produtos. Tais características podem incluir estudos sobre a colocação do preservativo, escorregamento e ruptura, e outros parâmetros que podem afetar a eficiência dos preservativos. Convém que experimentos clínicos sejam conduzidos sob um protocolo escrito para monitorar os objetivos claramente declarados em conformidade com as ISO 14155 e ISO 29943-1.

Convém que seja dada a devida consideração à inclusão adequada de preservativos de referência. Convém que o gerenciamento de risco seja realizado conforme especificado na NBR ISO 14971. A NBR ISO 16037 é um documento de orientação que recomenda parâmetros físicos. Convém que estes sejam medidos antes que se conduzam os experimentos clínicos. Convém que os dados clínicos assim gerados sejam analisados criticamente, conforme for necessário, para garantir segurança e conformidade contínuas com os requisitos de desempenho dos preservativos.

No caso de preservativos feitos de materiais sintéticos, os valores das propriedades físicas medidas formam a base para atingir os critérios de aceitação para ensaios de lote como parte da verificação da qualidade, conforme apresentado na NBR ISO 23409. Uma vez que o material sintético pode variar de projeto para projeto, os limites para se chegar aos requisitos mínimos aceitáveis de propriedades físicas são derivados com base nos resultados do ensaio de tipo dos lotes que estão sujeitos à investigação clínica.

Convém que os requisitos mínimos sejam especificados com base em valores percentuais de preservativos individuais. Percentis representam o valor de parâmetros abaixo dos quais uma determinada porcentagem das observações recai.

Convém que fabricantes executem o gerenciamento de risco conforme especificado na NBR ISO 14971 e disponibilizem o relatório de gerenciamento de risco para compradores institucionais e agências reguladoras conforme solicitação dentro de um quadro de referência de confidencialidade. Convém que quaisquer alegações de funcionalidades adicionais tenham dados substanciados bem definidos de desempenho e de segurança, e que sejam devidamente documentados (por exemplo, para preservativos extra resistentes).

Convém que, como um componente importante do gerenciamento de risco, o fabricante informe ao usuário, na rotulagem, sobre quaisquer propriedades do produto ou substâncias contidas dentro deste que possam causar irritação, sensibilização ou reação alérgica. Diretrizes para rotulagem são especificadas na NBR ISO 4074 e NBR ISO 23409, como indicado.

Convém que seja dada atenção para uma escolha apropriada de cores e aditivos aprovados por agências reguladoras ou certificados como seguros para uso em seres humanos. Convém que o usuário seja alertado do potencial de alergia em casos raros, devido ao látex ou outras substâncias químicas presentes na formulação.

Os preservativos feitos de látex de borracha natural ou de uma mistura liberam quantidades menores de proteína do que luvas de látex, pois possuem filmes mais finos e duração de uso mais curta. No entanto, convém que os fabricantes de preservativos de látex se esforcem para manter o nível de proteína de látex mínimo.

O controle de proteínas extraíveis é uma questão de gestão da qualidade e convém que o fabricante esteja ciente e controle o conteúdo e a liberação de substância alergênicas, como proteínas extraíveis, por meio de passos e controles adequados de processo; convém que os passos de processo e os controles façam parte do sistema de gestão da qualidade do fabricante. Os métodos para determinar níveis de proteína em produtos de látex são apresentados na ASTM D5712-99.

Estes métodos podem ser adaptados para determinar níveis de proteína em preservativos. Os níveis de proteína também podem ser determinados pelo método ELISA, especificado pela ASTM D6499-03. Nenhum limite para níveis de proteína é especificado na NBR ISO 4074 e NBR ISO 23409.

Apesar de preservativos serem dispositivo médico não estéreis, convém que cuidado seja empregado durante as operações de fabricação para minimizar contaminação microbiológica, particularmente com patógenos específicos que afetem a pele e a mucosa. Por exemplo, várias espécies de pseudomonas, estafilococos e E. coli. Convém que potenciais causas de contaminação sejam identificadas, controladas e monitoradas pelo sistema de gestão da qualidade.

A NBR ISO 4074 requer que os fabricantes estabeleçam procedimentos para o monitoramento periódico de contaminação microbiana (biocarga) como parte de seu sistema de gestão da qualidade. Convém que o procedimento seja baseado na análise de risco feita pelo fabricante no que diz respeito à contaminação microbiana, de forma que o método para determinar níveis de biocarga, a periodicidade de monitoramento e os limites para contagens totais viáveis sejam estabelecidos para garantir a segurança dos preservativos fabricados.

Sugere-se que a determinação da biocarga seja feita nos preservativos em diferentes etapas da fabricação e em diferentes condições ambientais predominantes em áreas críticas de fabricação e de armazenamento, e que limites e frequência adequados de monitoramento sejam estabelecidos. Dados de análise de tendências regulares serão úteis no monitoramento efetivo e para tomar os passos preventivos e corretivos requeridos para evitar a contaminação.

A NBR ISO 4074 requer que patógenos específicos estejam ausentes. Os métodos para determinar os níveis de biocarga são apresentados na NBR ISO 4074:2020, Anexo G. O princípio subjacente da gestão da qualidade é que não é possível que a qualidade seja alcançada efetiva e consistentemente apenas por meio de ensaios do produto final. Ao contrário, convém que esteja incorporado em todos os estágios do processo e nas atividades relacionadas que tenham impacto direto na qualidade do produto.

Os sistemas eletrônicos e de automação para residências e/ou edificações

A série NBR IEC 63044 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) define os requisitos aplicáveis a todos os sistemas eletrônicos para residências e/ou edificações (HBES) e aos sistemas de automação e controle de edificações (BACS), bem como especifica os requisitos gerais referentes a estes sistemas de produtos. 

A NBR IEC 63044-1 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 1: Requisitos gerais é aplicável a todos os sistemas eletrônicos para residências e/ou edificações (HBES) e aos sistemas de automação e controle de edificações (BACS), bem como especifica os requisitos gerais referentes a estes sistemas de produtos. É aplicável (mas não limitado) a estações de operação e outros dispositivos de interface homem-sistema, dispositivos para as funções de gestão, dispositivos de comando, estações de automação e controladores específicos para uma aplicação, dispositivos de campo e suas interfaces, e cabeamento e interconexão dos dispositivos utilizados na rede HBES/BACS dedicada. Fornece uma visão de conjunto da série NBR IEC 63044. Para permitir a integração de um amplo espectro de aplicações, a série NBR IEC 63044 abrange os seguintes elementos: segurança elétrica, segurança funcional, condições ambientais, requisitos de EMC e as regras e topologias de instalação e de cabeamento. A NBR IEC 63044 é uma série de normas de família de produtos.

A NBR IEC 63044-3 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 3: Requisitos de segurança elétrica fornece os requisitos de segurança elétrica relativos à rede HBES/BACS, além das normas de segurança de produtos aplicáveis aos dispositivos HBES/BACS. Também é aplicável aos dispositivos utilizados em uma rede HBES/BACS para os quais não existe uma norma de segurança de produto HBES/BACS específica. Adicionalmente, especifica os requisitos de segurança relativos à interface dos equipamentos destinados a serem conectados a uma rede HBES/BACS. Não é aplicável às interfaces com outras redes.

Uma rede TIC dedicada, abrangida pela IEC 62949, é um exemplo de outras redes. Este documento é aplicável a: estações de operação e outros dispositivos de interface homem-sistema, dispositivos para as funções de gestão, dispositivos de comando, estações de automação e controladores específicos para uma aplicação, dispositivos de campo e suas interfaces, e cabeamento e interconexão dos dispositivos utilizados na rede HBES/BACS dedicada. Este documento abrange os requisitos e critérios de conformidade a seguir: proteção contra os perigos no dispositivo; proteção contra as sobretensões na rede; proteção contra a corrente de toque; proteção contra os perigos provocados por diferentes tipos de circuitos; proteção do cabeamento de comunicação contra as temperaturas excessivas provocadas por uma corrente excessiva.

A NBR IEC 63044-5-1 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 5-1: Requisitos gerais de EMC, condições e montagem de ensaios é uma norma da família de produtos que estabelece o nível mínimo de desempenho EMC para a rede HBES/BACS, além das normas EMC de produtos aplicáveis aos dispositivos HBES/BACS. A NBR IEC 63044-5-2 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 5-2: Requisitos EMC para HBES/BACS a serem utilizados nos ambientes residenciais, comerciais e industriais leves especifica os requisitos EMC para HBES/BACS a serem instalados em ambientes residenciais, comerciais e industriais leves, de acordo com a definição indicada na IEC 61000-6-1. A NBR IEC 63044-5-3 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 5-3: Requisitos EMC para HBES/BACS a serem utilizados em ambientes industriais especifica os requisitos EMC para os HBES/BACS a serem instalados em ambientes industriais, de acordo com a definição indicada na IEC 61000-6-2.

Confira algumas perguntas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são as aplicações e dos grupos de aplicações de serviços relativos aos sistemas HBES/BACS?

Como deve ser feita a proteção contra corrente de toque?

Como evitar o somatório das correntes de toque?

Como deve ser executada a proteção do cabeamento de comunicação contra temperaturas excessivas?

Quais são os requisitos de imunidade EMC para as portas de rede HBES/BACS?

A IEC 63044-2 fornece as condições ambientais para todos os dispositivos conectados aos sistemas HBES/BACS e define os requisitos gerais para os dispositivos que funcionam em locais protegidos contra as intempéries, ambientes marinhos, durante o uso portátil, bem como durante o armazenamento e transporte. A NBR IEC 63044-3 fornece os requisitos de segurança elétrica relativos à rede HBES/BACS, adicionalmente às normas de segurança de produtos aplicáveis aos dispositivos HBES/BACS. Também é aplicável aos dispositivos utilizados em uma rede HBES/BACS, para a qual não existe uma norma específica de segurança de produto HBES/BACS.

Adicionalmente, a NBR IEC 63044-3 especifica os requisitos de segurança relativos à interface dos equipamentos destinados a serem conectados a uma rede HBES/BACS. Ela não é aplicável a outras interfaces com outras redes. Um exemplo de outras redes é uma rede TIC dedicada, abrangida pela IEC 62949.

A IEC 63044-4 define os requisitos relativos à segurança funcional, aplicáveis aos produtos e sistemas HBES/BACS. Os requisitos também podem ser aplicáveis às funções distribuídas de qualquer equipamento conectado em um sistema de automação de residências ou de edificações, se não existir uma norma de segurança funcional específica para este equipamento ou este sistema. A IEC 63044-4 não especifica os requisitos de segurança funcional para os sistemas relacionados à segurança.

Esta norma da família de produtos define o nível mínimo de desempenho EMC para a rede HBES/BACS, adicionalmente às normas EMC de produtos aplicáveis aos dispositivos HBES/BACS. Ela também é aplicável aos dispositivos utilizados em uma rede HBES/BACS, para a qual não existe uma norma EMC específica de produto HBES/BACS específica.

Adicionalmente, a IEC 63044-5 especifica os requisitos EMC para a interface dos equipamentos destinados a serem conectados a uma rede HBES/BACS. Ela não é aplicável às interfaces com outras redes. A NBR IEC 63044-5-1 fornece os requisitos de desempenho gerais e as montagens de ensaio. A NBR IEC 63044-5-2 especifica os requisitos EMC relativos aos sistemas HBES/BACS a serem instalados em um ambiente residencial, comercial e industrial leve, de acordo com a definição indicada na IEC 61000-6-1.

A NBR IEC 63044-5-3 especifica os requisitos EMC relativos aos sistemas HBES/BACS a serem instalados em um ambiente industrial, de acordo com a definição indicada na IEC 61000-6-2. A expressão ambiente industrial abrange os locais de escritório que podem estar presentes em edificações industriais. Os sistemas de automação industrial não se enquadram no escopo da NBR IEC 63044-5-3.

A IEC 63044-6 especifica os requisitos HBES específicos adicionais, referentes às regras gerais para o planejamento e a instalação dos sistemas HBES/BACS. As redes elétricas não se enquadram no escopo da IEC 63044-6. A tabela abaixo fornece uma visão geral dos sistemas eletrônicos para residências e edificações (HBES) e para os sistemas de automação e controle de edificações (BACS).

Pode-se acrescentar que a Série NBR IEC 63044 trata do desenvolvimento e dos ensaios dos sistemas eletrônicos para residências e edificações (HBES) e dos sistemas de automação e controle de edificações (BACS). Este documento trata dos requisitos de segurança elétrica para os HBES/BACS. Este documento é baseado na filosofia de que um dispositivo considerado eletricamente seguro, de acordo com uma norma de segurança de produto apropriado, também permanece seguro quando for conectado a uma rede.

Este documento especifica, adicionalmente à norma do produto específico, os requisitos de segurança elétrica necessários para que um dispositivo HBES/BACS conectado a uma rede permaneça seguro nas condições normais e de primeira falta da rede HBES/BACS e, ao mesmo tempo, nas condições normais e condições de primeira falta de um ou mais dispositivos HBES/BACS conectados à rede HBES/BACS.

Esta disposição compreende a proteção contra as sobretensões na rede, a proteção contra os perigos provocados pela conexão de diferentes tipos de circuito, a limitação da corrente de toque a uma rede e a proteção do cabeamento de comunicação contra as temperaturas excessivas. A rede HBES/BACS corresponde a qualquer interconexão entre os produtos HBES/BACS. As redes HBES/BACS podem ser uma rede TIC com as interfaces classificadas de acordo com a IEC 62949, ou uma rede dedicada classificada como um circuito de alimentação principal, ELV, FELV, SELV ou PELV.

Para os produtos HBES/BACS conectados a uma rede TIC, os requisitos da IEC 62949 são aplicáveis. Para os produtos HBES/BACS conectados a uma rede HBES/BACS dedicada, os requisitos relativos à separação elétrica entre o dispositivo e o circuito da rede são especificados (ver a tabela acima). Estas especificações das separações elétricas seguem o princípio das publicações básicas de segurança das IEC 60664-1 e IEC 61140, juntamente com os requisitos de instalação da IEC 60364. Os compromissos descritos a seguir são utilizados.

De acordo com os princípios da IEC 60664-1, a tensão de impulso nominal para a separação deve ser a mais elevada da tensão de impulso na rede e da tensão de impulso nominal do circuito do dispositivo a ser conectado à rede. As categorias de sobretensão consideradas pela IEC 60664-1 se referem às sobretensões provenientes diretamente da rede elétrica principal pela alimentação.

As sobretensões provenientes de outras fontes (por exemplo, por acoplamentos capacitivos) não são especificadas na IEC 60664-1. A IEC 60664-1 recomenda que as comissões de estudos especifiquem as categorias de sobretensão ou as tensões de impulso nominais, conforme apropriado. Para os objetivos deste documento, as seguintes tensões de impulso foram especificadas.

Para as redes com separação galvânica da rede elétrica principal (circuito FELV, SELV ou PELV), a sobretensão de impulso proveniente do lado da rede da separação foi limitada a 2,5 kV para as redes instaladas de maneira permanente e a 1,5 kV para as redes destacáveis. Todos os sistemas HBES/BACS, as mídias e os dispositivos, bem como a sua instalação, devem assegurar um funcionamento seguro por uma proteção contra os perigos mecânicos, químicos, ambientais e outros perigos, e uma proteção contra os choques elétricos, queimaduras e incêndio, durante uma utilização normal, assim como nas condições anormais especificadas.

O conjunto dos sistemas HBES/BACS, as mídias e os dispositivos, bem como a sua instalação, devem assegurar um funcionamento seguro por uma proteção contra os choques elétricos, queimaduras e incêndio, durante uma utilização normal, assim como nas condições de primeira falta. Para os produtos conectados a uma rede HBES/BACS dedicada, conforme classificada, a proteção contra os choques elétricos é aplicável. A tabela abaixo especifica a separação elétrica requerida entre o circuito do dispositivo e o circuito da rede HBES/BACS, e se eles são aplicáveis adicionalmente à norma do produto.

A tabela abaixo também pode ser utilizada como guia para a separação entre os diferentes circuitos no interior de um dispositivo, caso a norma do produto aplicável não especifique estes requisitos. As informações aplicáveis relativas à classificação de segurança das portas de acesso (categoria de sobretensão e tipo de circuito) e todas as restrições aplicáveis (por exemplo, a topologia da rede) devem ser mencionadas na documentação do fabricante.

A prática para proteção de dados pessoais

Deve-se conhecer os objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização.

A NBR ISO/IEC 29151 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização. Aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando. Vários países estão incrementando suas leis para lidar com o aumento do número de significativas violações de dados.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a consideração do ciclo de vida do DP?

Quais devem ser as políticas para segurança da informação em DP?

Quais são as diretrizes de implementação para a proteção de DP?

Qual deve ser a política para uso de dispositivo móvel?

O que se deve fazer em relação à conscientização, educação e treinamento em segurança da informação?

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas envolvidas. Este documento fornece essas orientações.

Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles de segurança da informação e de proteção de DP que são comumente aplicados em diferentes organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC fornecem orientações ou requisitos sobre outros aspectos do processo geral de proteção de DP. A NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os requisitos associados, os quais podem ser usados como base para a proteção de DP. A NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança da informação e práticas de gestão da segurança da informação, incluindo a seleção, implementação e gestão de controles, considerando o (s) ambiente (s) de risco (s) de segurança da informação da organização.

A ISO/IEC 27009 especifica os requisitos para o uso da NBR ISO/IEC 27001 em qualquer setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir os requisitos adicionais aos da NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A da NBR ISO/IEC 27001. A NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.

A NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar riscos de privacidade, enquanto a NBR ISO/IEC 27001, juntamente com a NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar riscos de segurança. Dessa forma, os controles devem ser escolhidos com base nos riscos identificados como resultado de uma análise de risco para desenvolver um sistema abrangente e consistente de controles. Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.

Este documento contém duas partes: o corpo principal que consiste nas seções 1 a 18 e um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões setoriais da NBR ISO/IEC 27002. A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo principal da NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações sobre o uso deste documento.

Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002, refletindo o fato de que este documento se baseia nas diretrizes da NBR ISO/IEC 27002, adicionando novos controles específicos para a proteção de DP. Muitos dos controles da NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP. No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são fornecidas no cabeçalho apropriado (e no número da seção) da NBR ISO/IEC 27002.

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que suplementam os dados na NBR ISO/IEC 27002. Esses novos controles de proteção de DP, com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de privacidade e aos 11 princípios de privacidade da NBR ISO/IEC 29100: consentimento e escolha; especificação e legitimidade de objetivo; limitação de coleta; minimização de dados; limitação de uso, retenção e divulgação; precisão e qualidade; abertura, transparência e notificação; acesso e participação individual; responsabilização; segurança da informação; e compliance com a privacidade. A figura abaixo descreve o relacionamento entre este documento e a família de normas ISO/IEC.

Este documento inclui diretrizes baseadas na NBR ISO/IEC 27002 e as adapta conforme necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP. Em domínios diferentes de tratamento, como: serviços públicos de nuvem; aplicativos de redes sociais; dispositivos conectados à internet de uso doméstico; pesquisa, análise; segmentação de DP para publicidade e propósitos semelhantes; programas de big data analytics; tratamento nas relações trabalhistas; gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão de relacionamento com clientes).

Em diferentes locais, como em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo, cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos wearables); nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização do celular são criados operacionalmente pelo processamento da rede, que podem ser considerados DP em algumas jurisdições); dentro da própria infraestrutura de tratamento de uma organização; na plataforma de tratamento de terceiros. Para as características de coleta, como coleta única de dados (por exemplo, ao se registrar em um serviço); coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes, etc.).

A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros. Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta, precisa ser considerado. Este documento fornece um conjunto de controles para proteção de DP.

O objetivo da proteção de DP é permitir que as organizações implementem um conjunto de controles como parte de seu programa geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100.

A organização precisa identificar os seus requisitos de proteção de DP. Os princípios de privacidade da NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais de requisitos de proteção de DP: requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP, incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais, contratados e prestadores de serviços precisam cumprir; avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização, por meio de uma avaliação de riscos; políticas corporativas: uma organização também pode optar voluntariamente por ir além dos critérios derivados de requisitos anteriores.

Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade estabelecidos na NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento de DP que foram desenvolvidos para apoiar suas operações. Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (privacy impact assessments – PIA), por exemplo, conforme especificado na NBR ISO/IEC 29134, ajudam a orientar e determinar as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para implementar controles selecionados para proteção contra estes riscos.

Um documento de PIA, como a NBR ISO/IEC 29134, pode fornecer orientações para a PIA, incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco e análise crítica de risco. Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista.

Convém que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados, idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma operação prevista tenha sido cuidadosamente analisada.

Os controles podem ser selecionados a partir deste documento (que inclui por referência os controles da NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados). Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas às legislações e aos regulamentos nacionais e internacionais aplicáveis.

A seleção e a implementação de controles também dependem da função da organização no fornecimento de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas na implementação de controles.

Convém que os acordos contratuais especifiquem claramente as responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso dos serviços. Os controles neste documento podem ser usados como referência para organizações que tratam DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP. Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções do controlador de DP.

Os processos de avaliação do impacto da privacidade

Deve-se conhecer as diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA).

A NBR ISO/IEC 29134 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de privacidade – Diretrizes fornece diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA). É aplicável a todos os tipos e tamanhos de organizações, incluindo companhias públicas, companhias privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é pertinente para os envolvidos em conceber ou implementar projetos, incluindo as partes que operam sistemas de tratamento de dados e serviços que tratam dos dados pessoais (DP).

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como preparar um plano da PIA e determinar os recursos necessários para a sua realização?

Como engajar as partes interessadas no processo?

Como estabelecer um plano de consulta?

Como identificar os fluxos de informações de dados pessoais (DP)?

Como analisar as implicações do caso de uso?

A análise de impacto de privacidade (PIA) é um processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de riscos da organização. Uma avaliação de impacto de privacidade (PIA) é um instrumento para avaliar os potenciais impactos na privacidade de um processo, sistema de informação, programa, módulo de software, dispositivo ou outra iniciativa que trate dados pessoais (DP) e, em consulta às partes interessadas, para tomar ações necessárias para tratar risco à privacidade.

Um relatório de PIA pode incluir documentação sobre medidas tomadas para tratamento de risco, por exemplo, medidas resultantes do uso do sistema de gestão de segurança da informação (SGSI) na NBR ISO/IEC 27001. Uma PIA é mais que uma ferramenta: é um processo que começa nos estágios mais iniciais de uma iniciativa, quando ainda há oportunidades para influenciar seu resultado e, consequentemente, garantir privacy by design. É um processo que continua até, e mesmo após, o projeto ser entregue.

As iniciativas variam substancialmente em escala e impacto. Os objetivos que se enquadrem no título privacidade dependem de cultura, expectativas sociais e jurisdição. Este documento é destinado a fornecer orientação escalável que possa ser aplicada a todas as iniciativas. Como não é possível prescrever uma orientação específica para todas as circunstâncias, convém que a orientação neste documento seja interpretada com observância à circunstância individual.

Um controlador de DP pode ter a responsabilidade em conduzir uma PIA e pode demandar um operador de DP para dar assistência nisto, agindo em nome do controlador de DP. Um operador de DP ou um fornecedor também pode desejar conduzir sua própria PIA. Uma informação de PIA de um fornecedor é especialmente pertinente quando dispositivos conectados digitalmente são parte do sistema de informação, aplicação ou processo que esteja sendo avaliado.

Pode ser necessário que fornecedores destes dispositivos forneçam informações de projeto pertinentes à privacidade para aqueles que estejam empreendendo a PIA. Quando o fornecedor de dispositivos digitais não possui conhecimento e não está preparado para a PIA, por exemplo: um pequeno comércio, ou uma pequena ou média empresa (PME), usando dispositivos conectados digitalmente no curso de suas operações de negócio habituais, então, a fim de possibilitá-lo empreender uma atividade mínima da PIA, o fornecedor do dispositivo pode ser chamado para fornecer uma grande quantidade de informações de privacidade e empreender sua própria PIA em observância ao contexto esperado do titular de DP/PME para o equipamento que fornece.

Uma PIA é tipicamente conduzida por uma organização que assume sua responsabilidade seriamente e trata titulares de DP adequadamente. Em algumas jurisdições, uma PIA pode ser necessária em atendimento a requisitos legais e regulamentares. Este documento é destinado para ser utilizado quando o impacto de privacidade de titulares de DP inclui consideração de processos, sistemas de informação ou programas, onde a responsabilidade pela implementação e/ou entrega do processo, sistema de informação ou programa seja compartilhada com outras organizações e convém que seja assegurado que cada organização trate apropriadamente os riscos identificados.

Também, pode incluir uma organização esteja realizando gestão de riscos de privacidade como parte de seu esforço de gestão geral de riscos enquanto se prepara para a implementação ou melhoria de seu SGSI (estabelecido de acordo com a NBR ISO/IEC 27001 ou sistema de gestão equivalente); ou uma organização esteja realizando gestão de riscos de privacidade como uma função independente; uma organização (por exemplo, governamental) empreenda uma iniciativa (por exemplo, um programa de parceria público-privada) na qual a futura organização controladora de DP não seja conhecida ainda, com o resultado de que o plano de tratamento não possa ser implementado diretamente e, portanto, convém que este plano de tratamento seja parte da correspondente legislação, regulamentação ou do contrato como alternativa; ou a organização que queira atuar responsavelmente em relação aos titulares de DP.

Os controles considerados necessários para o tratamento de riscos identificados durante o processo de análise de impacto de privacidade podem ser derivados de múltiplos conjuntos de controles, incluindo a  NBR ISO/IEC 27002 (para controles de segurança) e a NBR ISO/IEC 29151 (para controles protetivos aos dados pessoais) ou normas nacionais comparáveis, ou eles podem ser definidos pela pessoa responsável pela condução da PIA independentemente de qualquer outro conjunto de controles. Este documento fornece orientação que pode ser adaptada a uma ampla extensão de situações nas quais DP são tratados.

Entretanto, em geral, uma PIA pode ser realizada para o propósito de identificar impactos de privacidade, riscos de privacidade e responsabilidades; fornecer entradas para a concepção de proteção da privacidade (às vezes chamada privacy by design); analisar criticamente os riscos de privacidade de um novo sistema de informações e avaliar seu impacto e probabilidade; fornecer a base para a provisão de informações de privacidade aos titulares de DP em qualquer ação recomendada de mitigação de titulares de DP; manter atualizações ou upgrades posteriores com funcionalidade adicional suscetível a impactar os DP que sejam manipulados; compartilhar e mitigar riscos de privacidade com partes interessadas, ou fornecer evidências relacionadas a compliance.

Uma PIA é ocasionalmente referida por outros termos, por exemplo, análise crítica de privacidade ou uma análise de impacto à proteção de dados. Estas instâncias particulares de uma PIA podem vir com implicações específicas para tratamento e relatório. Uma PIA frequentemente tem sido descrita como um sistema de alerta antecipado.

Ela fornece uma maneira para detectar potenciais riscos de privacidade resultando do tratamento de DP e, a partir disso, informar uma organização onde convém que ela adote precauções e construa salvaguardas construídas antes, não após, a organização realizar pesados investimentos. Os custos de alteração de um projeto no estágio de planejamento habitualmente são uma fração daqueles incorridos posteriormente. Se o impacto de privacidade é inaceitável, o projeto pode até mesmo ter que ser completamente cancelado.

Por conseguinte, uma PIA ajuda a identificar questões de privacidade antecipadamente e/ou reduzir custos de tempo de gestão, despesas legais e potenciais preocupações de mídia ou públicas ao considerar questões de privacidade antecipadamente. Pode também ajudar uma organização a evitar embaraçosos e caros equívocos em privacidade. Embora convenha que uma PIA seja mais que simplesmente uma verificação de compliance, ela, entretanto, contribui para uma demonstração da organização quanto ao seu compliance com requisitos pertinentes de privacidade e proteção de dados na eventualidade de uma reclamação subsequente, auditoria de privacidade ou investigação de compliance.

Na eventualidade da ocorrência de um risco à privacidade ou incidente, um relatório de PIA pode fornecer evidência de que a organização atuou apropriadamente na tentativa de prevenir a ocorrência. Isto pode ajudar a reduzir ou mesmo eliminar qualquer responsabilidade legal, publicidade negativa e perda de reputação. Uma PIA apropriada também demonstra aos clientes da organização e/ou cidadãos que ela respeita sua privacidade e é responsiva às suas preocupações. Clientes ou cidadãos são mais suscetíveis a confiar em uma organização que realiza uma PIA que em uma que não a realiza.

Uma PIA melhora o processo de decisão informada e expõe falhas de comunicação interna ou assunções ocultas em questões de privacidade sobre o projeto. Uma PIA é uma ferramenta para empreender uma análise sistemática de questões de privacidade originadas a partir de um projeto de modo a informar tomadores de decisão. Uma PIA pode ser uma fonte confiável de informações. Uma PIA possibilita uma organização a aprender sobre as armadilhas de privacidade de um processo, sistema de informações ou programa, em vez de ter auditores ou concorrentes os apontando.

Uma PIA ajuda a antecipar e responder às preocupações de privacidade do público. Uma PIA pode ajudar uma organização a ganhar a confiança de seu público e a certeza de que a privacidade foi construída dentro da concepção de um processo, sistema de informação ou programa. Confiança é construída sobre transparência, e uma PIA é um processo disciplinado que promove comunicações abertas, entendimento comum e transparência.

Uma organização que empreende uma PIA demonstra aos seus empregados e contratados que ela considera seriamente a privacidade e espera que façam o mesmo. Uma PIA é uma maneira de educar empregados sobre privacidade e torna-los alertas aos problemas de privacidade que possam produzir danos à organização. É uma maneira de afirmar os valores da organização.

Uma PIA pode ser utilizada como uma indicação da due diligence e pode reduzir o número de auditorias de clientes. O objetivo do relatório da PIA é comunicar os resultados da avaliação às partes interessadas. As expectativas sobre uma PIA existem de várias partes interessadas. A seguir, alguns exemplos típicos de partes interessadas e suas expectativas.

— Titular de DP – A PIA é um instrumento que possibilita que titulares de DP tenham segurança de que sua privacidade está sendo protegida.

— Gestão – Vários pontos de vista se aplicam como uma PIA como pode usada como um instrumento para gerenciar riscos de privacidade, conscientizar e estabelecer responsabilização; visibilidade do tratamento de DP dentro da organização e possíveis riscos e seus impactos; insumos para negócios ou estratégia de produtos.

— Construir a PIA nos estágios iniciais do projeto assegura que os requisitos de privacidade sejam incluídos nos requisitos funcionais e não funcionais, sejam atingíveis, viáveis e rastreáveis pela gestão de riscos e de mudanças, e pode resultar em um projeto não acontecer ou ser cancelado. Convém que o esforço em classificar e gerenciar DP de projetos seja capitalizado como uma linha de investimento separada e em montante em um projeto ou programa orçamentário, aceitável para todas as partes interessadas.

— A PIA como uma oportunidade para entender melhor os requisitos de privacidade e avaliar as atividades em relação a esses requisitos; entradas para design e entrega de produtos ou serviços; analisados criticamente e alterados ao longo do processo de gestão de mudanças após a entrega.

— A PIA como um instrumento para entender os riscos de privacidade no nível da função/projeto/unidade; consolidação de riscos; contribuição para o desenho de políticas de privacidade e mecanismos de aplicação; entradas para reengenharia de processos de privacidade.

— Regulador – A PIA é um instrumento que contribui com evidências que apoiam a conformidade com os requisitos legais aplicáveis. Pode fornecer evidências da due diligence adotada pela organização em caso de violação, não conformidade, reclamação, etc.

— Cliente – A PIA é um meio de avaliar como o operador de DP ou controlador de DP está lidando com os DP e fornece evidências de que ele cumpre as obrigações contratuais. Convém que o relatório de PIA cumpra duas atribuições básicas. A primeira (inventário) mantém as partes interessadas específicas informadas sobre as entidades afetadas identificadas, o ambiente afetado e os riscos de privacidade sobre o ciclo de vida das entidades afetadas, sejam eles inerentes ou mitigadas.

A segunda (itens de ação) é um mecanismo de rastreamento das ações/tarefas que melhoram e/ou resolvem os riscos de privacidade identificados. A sensibilidade na distribuição e liberação das informações do relatório precisa ser claramente avaliada e classificada (privada, confidencial, pública, etc.). Convém que uma PIA seja realizada por processos ou sistemas de informação por uma de várias entidades diferentes da organização, mas também pode ser realizada em um processo, sistema de informação ou programa por organizações de consumidores ou organizações não governamentais.

Normalmente, convém que a responsabilidade de assegurar que uma PIA seja realizada, em primeiro lugar, recaia sobre a pessoa encarregada da proteção de DP, caso contrário, o gerente de projeto desenvolverá a nova tecnologia, serviço ou outra iniciativa que possa impactar a privacidade. Convém que a responsabilização de assegurar que a PIA seja realizada e a qualidade do resultado (responsabilidade da PIA) caiba à Alta Direção do controlador de DP.

A pessoa a quem foi atribuída a responsabilidade de conduzir a PIA pode conduzi-la por conta própria, pode contar com a ajuda de outras partes interessadas internas e/ou externas ou pode contratar um terceiro independente para fazer o trabalho. Existem vantagens e desvantagens em cada abordagem. No entanto, quando a PIA é realizada diretamente pela organização, associações de usuários finais ou agências governamentais podem solicitar que a adequação da PIA seja verificada por um auditor independente.

Convém que a organização assegure que haja responsabilização e autoridade para gerenciar riscos de privacidade, incluindo a implementação e manutenção do processo de gestão de riscos de privacidade e para assegurar a adequação e eficácia de quaisquer controles. Isso pode ser facilitado por especificar quem é o responsável pelo desenvolvimento, implementação e manutenção da estrutura para gerenciar riscos de privacidade, e especificar os proprietários de riscos para implementar o tratamento de riscos de privacidade, manter controles de privacidade e relatar informações pertinentes sobre riscos de privacidade.

A escala do PIA depende da importância dos impactos assumidos. Por exemplo, se for presumido que os impactos afetam apenas os funcionários da organização (por exemplo, a organização pode querer melhorar seu controle de acesso por meio de uma biometria, como uma impressão digital de cada funcionário), a PIA poderia envolver apenas representantes dos funcionários e ser de escala relativamente pequena. No entanto, se um departamento do governo desejar introduzir um novo sistema de gestão de identidade para todos os cidadãos, precisará realizar uma PIA muito maior, envolvendo uma ampla gama de partes interessadas externas.

Convém que as organizações forneçam autoavaliação na escala exigida da PIA, em conformidade com as leis e regulamentos. A quantidade e granularidade dos DP por pessoa, o grau de sensibilidade dos DP, o número de titulares de DP e o número de pessoas que têm acesso aos DP que serão tratados são os fatores críticos na determinação dessa escala.

No caso de PME, organizações sem fins lucrativos ou governamentais, a determinação da escala apropriada da PIA pode ser realizada de maneira conjunta, mas não vinculativa, pela pessoa que realiza uma PIA, a Alta Direção da PME e/ou aconselhamento de especialistas externos, conforme apropriado. O escopo de uma PIA, os detalhes específicos do que ela abrange e como é conduzida precisam ser adaptados ao tamanho da organização, à jurisdição local e ao programa, sistema de informações ou processo específico que é objeto da PIA.

Na Seção 6, o “Objetivo” é algo que convém que seja alcançado, a “Entrada” fornece orientações sobre quais informações podem ser necessárias para alcançar o “Objetivo”, a “Saída esperada” é a meta recomendada para as “Ações”, “Ações”, ou seus equivalentes, são orientações sobre atividades que talvez precisem ser realizadas para alcançar o “Objetivo” e criar a “Saída esperada” recomendada, e as “Diretrizes de implementação” fornece mais detalhes sobre assuntos que podem ser considerados na execução das “Ações”.

As “Ações” nesta seção, ou equivalentes, adaptadas ao escopo e escala desejados de uma PIA podem ser implementadas de forma independente por uma organização. Eles pretendem formar uma base razoável para planejar, implementar e acompanhar a PIA em uma ampla gama de circunstâncias. A organização que conduz um processo de PIA pode desejar adaptar diretamente a orientação do processo a seguir à sua escala e escopo específicos da PIA ou como uma alternativa possível para selecionar um sistema de gestão baseado em risco adequado, como na NBR ISO/IEC 27001, e integrar a ele elementos das orientações abaixo adequadamente adaptados, incluindo o uso do relatório da PIA (ver Seção 7) para tratar os riscos de privacidade identificados.

Neste documento, o termo “realização de uma PIA” é usado para cobrir uma PIA inicial, na qual as etapas e ações necessárias são selecionadas para corresponder ao requisito específico da PIA e uma atualização para uma PIA existente, onde apenas as etapas e ações necessárias para a atualização são realizados. O Anexo C fornece mais orientações sobre o entendimento dos termos usados neste documento. Para apoiar as PME no processo da PIA, convém que as associações ou os órgãos da indústria sejam incentivados a elaborar códigos de conduta que forneçam diretrizes valiosas, e convém que as PME sejam incentivadas a participar dessas atividades.

Os códigos de conduta razoáveis teriam que respeitar os valores estabelecidos neste documento e poderiam ser endossados pelas autoridades de proteção de dados. Para a determinação da necessidade de uma PIA (análise de pertinência), deve-se usar como entrada as informações sobre o programa, sistema de informações ou processo em avaliação. A saída esperada: resultado da análise de limite e mandato para preparar uma PIA nova ou atualizada se necessária, termos de referência e escopo da PIA decididas.

Para as ações, convém que a direção da organização decida se é necessária uma PIA nova ou atualizada. Se for necessária uma PIA nova ou atualizada, convém que a direção da organização, em conjunto com o avaliador, estabeleça os termos de referência e determine os limites e a aplicabilidade da PIA para estabelecer seu escopo. Convém que a organização também decida e documente a escala da PIA, o processo a ser usado para executá-la e o público-alvo, e então a natureza e o conteúdo dos relatórios da PIA a serem produzidos.

Convém que a saída deste processo em termos do resultado da análise de limiar e o escopo e os termos de referência da PIA sejam documentados no relatório da PIA. Convém que a organização realize uma PIA nova ou atualizada se perceber impactos na privacidade de: uma tecnologia, serviço ou outra iniciativa nova ou prospectiva, em que os DP sejam ou devam ser tratados, uma decisão de que DP sensíveis (ver NBR ISO/IEC 29100:2020, 2.26) serão tratados, alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para processar dados, fluxos de dados novos ou alterados, etc., e uma expansão ou aquisição de negócios.

Uma organização pode desejar estabelecer uma política que estabeleça limites para acionar uma PIA nova ou atualizada e as medidas técnicas e organizacionais iniciais a serem aplicadas. Convém que essa política considere quaisquer problemas aplicáveis dentre os listados acima, estabelecendo limites dentro dos quais o tratamento de DP pode ser desenvolvido e operado sem acionar uma nova PIA. Convém que uma pessoa responsável pela realização de uma PIA (o avaliador) seja identificada e nomeada pela organização.

Convém que a organização também nomeie a pessoa responsável por assinar o relatório da PIA. Convém que o avaliador estabeleça os critérios de risco e assegure que a Alta Direção concorda com os critérios de risco a serem usados para avaliar a significância do risco. Esses critérios podem basear-se nos mostrados no Anexo A ou podem ser estabelecidos separadamente pela organização, juntamente com os critérios sobre como estimar o nível de impacto e o risco com suas respectivas escalas. Convém que o avaliador também identifique os critérios para aceitação de riscos e assegure que a Alta Direção concorda com esses critérios.

Convém que a saída desse processo em termos dos critérios de risco seja documentada no relatório da PIA e recursos. Convém que os critérios reflitam os valores, objetivos e recursos da organização. Ao estabelecer os critérios de risco, convém que o avaliador considere os seguintes fatores: os fatores legais e regulamentares que afetam a salvaguarda da privacidade da pessoa natural e a proteção de seus DP; os fatores externos, como diretrizes da indústria, padrões profissionais, políticas da empresa e acordos com clientes; os fatores predeterminados por uma aplicação específica ou em um contexto de caso de uso específico; e outros fatores que possam afetar o design de sistemas de informação e os requisitos de proteção de privacidade associados.

Convém que a direção da organização examine separadamente os riscos de privacidade do ponto de vista de um diretor de DP e os riscos de privacidade do ponto de vista da organização. Convém que esses critérios sejam usados posteriormente para avaliação e tratamento de riscos de privacidade. Convém que a pessoa responsável pela condução de um PIA proponha os termos de referência e o escopo do PIA.

Convém que a pessoa responsável pela realização de uma PIA consulte outras pessoas da organização e talvez externas à organização para descrever os fluxos de DP e, especificamente: como os DP são coletadas e a fonte relacionada; quem é responsável dentro da organização pelo tratamento de DP; com que finalidade os DP serão tratados; como os DP serão tratados; política de retenção e descarte de DP; como os DP serão gerenciados e modificados; como os operadores de DP e desenvolvedores de aplicativos protegem os DP; identifique quaisquer DP transferidos para jurisdições onde se aplicam níveis mais baixos de proteção; se aplicável, notifique as autoridades pertinentes sobre qualquer novo tratamento de DP e solicite as aprovações necessárias. (ver figura abaixo)

O uso de DP (ou transferência de DP) pode incluir fluxos aprovados de compartilhamento de DP para outras partes. A figura acima mostra um exemplo de como o fluxo de informações de DP pode ser visualizado em um diagrama de fluxo de trabalho no tratamento de DP. Convém que organização, como uma entrada da PIA, descreva o fluxo de informações da maneira mais detalhada possível para ajudar a identificar os possíveis riscos de privacidade.

Convém que o avaliador considere os impactos não apenas na privacidade das informações, mas também na conformidade com os regulamentos relacionados à privacidade, por exemplo, atos de telecomunicações. Convém que todo o ciclo de vida dos DP seja considerado.

A segurança dos sistemas motorizados na coleta de material em jardinagem

É importante compreender os requisitos de segurança e os meios específicos para a sua verificação para o projeto e a construção de sistemas motorizados para coleta de material, utilizados na agricultura, jardinagem e manutenção de áreas (por exemplo, paisagismo). 

A NBR ISO 21628 de 11/2020 – Máquinas de jardinagem – Sistemas motorizados para coleta de material – Segurança fornece os requisitos de segurança e os meios específicos para a sua verificação para o projeto e a construção de sistemas motorizados para coleta de material, utilizados na agricultura, jardinagem e manutenção de áreas (por exemplo, paisagismo). Esta norma é aplicável às máquinas montadas, semimontadas ou rebocadas, fabricadas após a data de sua publicação.

Especifica os meios para eliminar ou reduzir os perigos mecânicos, quando o sistema para coleta de material for utilizado conforme o previsto. Esta norma não trata dos perigos ambientais, segurança rodoviária, compatibilidade eletromagnética, tomada de potência (TDP), proteção do eixo de transmissão da TDP ou requisitos de controle. Esta Norma não é aplicável às máquinas dentro do escopo da NBR ISO 5395-2 ou NBR ISO 5395-3.

Acesse algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como pode ser definido um sistema para coleta de material?

O que deve conter o manual do operador?

O que é uma calha de descarga?

Quais os sinais de segurança e instrucionais que devem ser exibidos?

A estrutura das normas de segurança no campo de máquinas é a seguinte: as normas tipo A (normas de segurança básicas), que fornecem conceitos básicos, princípio para projeto e aspectos gerais que podem ser aplicados às máquinas; as normas tipo B (normas de segurança genéricas), que tratam de um ou vários aspectos de segurança ou um ou mais tipos de dispositivos de segurança que podem ser utilizados em uma ampla faixa de máquinas. As normas tipo B1 tratam sobre os aspectos de segurança específicos (por exemplo, distâncias de segurança, temperatura da superfície, ruído).

As normas tipo B2 especificam sobre os dispositivos de segurança (por exemplo, controles bimanuais, dispositivos de travamento, dispositivos sensíveis à pressão, proteções) e as normas tipo C (normas de segurança de máquinas) tratam de requisitos de segurança detalhados para uma máquina específica ou grupo de máquinas específico.

Este documento é uma norma tipo C, conforme declarado na ISO 12100-1. Quando os requisitos desta norma tipo C forem diferentes dos que são declarados em normas tipo A ou tipo B, os requisitos desta norma tipo C têm prioridade sobre os requisitos das outras normas para máquinas que foram projetadas e construídas de acordo com os requisitos desta norma tipo C.

As máquinas afetadas e a extensão em que os perigos, situações perigosas ou eventos perigosos são abrangidos estão indicadas no escopo deste documento. Estes perigos são específicos a sistemas para coleta de material. A máquina deve ser projetada de acordo com os princípios de redução de risco especificados na ISO 12100-1:2003, Seção 5, para perigos relevantes, porém não significativos.

Salvo se especificado em contrário nessa norma, as aberturas e as distâncias de segurança relativas devem estar de acordo com a NBR NM ISO 13852:2003, Tabelas 1, 3, 4 e 6. A mangueira ou tubo de sucção devem ser fixados no dispositivo de entrada. A remoção da mangueira ou tubo de sucção não pode ser possível, exceto com o uso de uma ferramenta. O manual do operador deve incluir informações sobre a remoção de obstruções.

O tamanho máximo da abertura da calha de descarga deve ser de 625 cm². Para evitar o acesso às partes perigosas do soprador, a máquina deve estar em conformidade com um ou mais dos seguintes itens. A distância mínima entre a abertura da calha de descarga e o contorno externo do soprador deve ser de 850 mm. Alternativamente, a distância mínima entre o contorno ou partes da máquina que restringem o acesso ao soprador e o contorno externo do soprador deve ser de 850 mm.

Este requisito deve ser verificado utilizando a sonda de ensaio do braço mostrada na figura abaixo. A sonda deve ser aplicada em todas as direções em que o braço do operador pode ser utilizado e na área sombreada mostrada na figura abaixo. A distância de segurança de 850 mm deve ser aplicada abaixo da altura desta área sombreada, isto é, abaixo de uma altura de 700 mm. (Ver figura abaixo).

A chapa da sonda deve ser mantida paralela à máquina. A sonda de ensaio do braço deve ser aplicada com uma força não superior a 20 N. A distância de segurança é medida como a medição da corrente. Alternativamente, a abertura da calha de descarga deve estar de acordo com a NBR NM ISO 13852:2003, Tabelas 1, 3, 4 e 6. Se isto for atingido por meios adicionais, estes meios devem estar no local sempre que o acesso do operador na abertura da calha de descarga for possível.

Eles não podem ser removíveis, exceto utilizando uma ferramenta, e devem corresponder à NBR ISO 13849-1, categoria 1. Alternativamente, os meios devem ser fornecidos para parar o soprador – por exemplo, ao levantar ou abrir o funil – antes do acesso direto do operador, sendo que isso sempre é possível.

O fluxo de ar na saída, na parte traseira do funil, deve ser direcionado para baixo, para evitar o contato com o material coletado. O sistema de articulação para levantar ou abaixar o funil durante a sua descarga deve ser projetado de modo que os pontos de compressão e corte sejam evitados e que seja mantida uma distância de 25 mm entre os componentes móveis da articulação.

As informações sobre possíveis perigos que podem ocorrer quando a porta do funil é aberta devem ser fornecidas na máquina e no manual do operador. Quanto à estabilidade, os sistemas para coleta de material vazios devem ser projetados para serem estáveis, quando desmontados e estacionados de acordo com o manual do operador em solo firme, com uma inclinação de até 8,5° em qualquer direção. Se necessário, meios para calçar as rodas de transporte devem ser fornecidos.