REVISTA DIGITAL ADNORMAS – Edição 142 | Ano 3 | 21 de Janeiro 2021

Acesse a versão online: https://revistaadnormas.com.br
Edição 142 | Ano 3 | 21 de Janeiro 2021
ISSN: 2595-3362
Confira os 12 artigos desta edição:

A gestão dos desafios dos riscos legais enfrentados pelas organizações

Conheça as diretrizes para a gestão dos desafios específicos de riscos legais enfrentados pelas organizações, como um documento complementar à NBR ISO 31000.

A NBR ISO 31022 de 12/2020 – Gestão de riscos — Diretrizes para a gestão de riscos legais fornece diretrizes para a gestão dos desafios específicos de riscos legais enfrentados pelas organizações, como um documento complementar à NBR ISO 31000. A aplicação destas diretrizes pode ser personalizada para qualquer organização e seu contexto. Este documento fornece uma abordagem comum para a gestão de riscos legais e não é específico para uma indústria ou setor.

O risco legal é aquele relacionado a questões legais, regulamentares e contratuais, e de direitos e obrigações extracontratuais. As questões legais podem ter origem em decisões políticas, lei nacional ou internacional, incluindo lei estatutária, jurisprudência ou direito comum, atos administrativos, ordens regulamentares, julgamento e prêmios, regras processuais, memorandos de entendi mento ou contratos.

As questões contratuais se referem às situações em que a organização falha em cumprir suas obrigações contratuais, falha no cumprimento de seus direitos contratuais ou celebra contratos com termos e condições onerosos, inadequados, injustos e/ou inexequíveis. O risco de direitos extracontratuais é o risco de a organização deixar de reivindicar seus direitos extracontratuais. Por exemplo, a falha de uma organização em fazer valer seus direitos de propriedade intelectual, como direitos relacionados a direitos autorais, marcas comerciais, patentes, segredos comerciais e informações confidenciais contra terceiros.

O risco de obrigações extracontratuais é o risco de que o comportamento e a tomada de decisões da organização possam resultar em comportamento ilegal ou uma falha no dever de assistência (ou dever civil) não legislativo para com terceiros. Por exemplo, uma organização infringir direitos de terceiros na propriedade intelectual, uma falha para atender normas necessárias e/ou cuidados devidos a clientes (como mis-selling), ou uso ou gestão de mídias sociais inadequados resultando em alegação por terceiros de difamação ou calúnia e deveres tortuosos em geral.

Confira algumas questões relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve ser executado o processo de gestão de riscos legais?

Como definir os critérios de riscos legais?

Como deve ser feita a identificação de riscos legais?

O que inclui a análise de riscos legais?

As organizações operam em um ambiente complexo com uma variedade de riscos legais. Não é apenas requerido que organizações cumpram as leis dentro de todos os países em que operam, os requisitos regulamentares e legais podem variar entre diferentes países, fortalecendo a necessidade de a organização ter confiança e compreensão em seus processos.

As organizações precisam estar alinhadas com as alterações legais e regulamentares, e analisar criticamente suas necessidades à medida que novas atividades e operações são desenvolvidas. As organizações enfrentam considerável incerteza ao tomar decisões e ações que podem ter consequências legais significativas.

A gestão de riscos legais ajuda as organizações a proteger e a aumentar seu valor. Este documento fornece orientações sobre as atividades a serem realizadas para apoiar as organizações a gerenciar riscos legais de maneira eficiente e econômica para atender às expectativas de uma ampla gama de partes interessadas. Ao desenvolver uma compreensão contínua dos contextos legais interno e externo, as organizações podem estar aptas a desenvolver novas oportunidades ou melhorar o desempenho operacional.

No entanto, o não atendimento dos requisitos e expectativas das partes interessadas pode ter consequências negativas consideráveis e imediatas que podem afetar o desempenho, a reputação e poderia levar a Alta Direção a um processo criminal. A NBR ISO 31000 fornece uma estrutura genérica para a gestão de todos os tipos de riscos, incluindo riscos legais. Este documento está alinhado com a NBR ISO 31000 e fornece diretrizes mais específicas aplicáveis à gestão de riscos legais.

O objetivo deste documento é desenvolver um entendimento melhorado da gestão de riscos legais enfrentados por uma organização que aplica os princípios da NBR ISO 31000. Estas diretrizes tem o objetivo de ajudar as organizações e a Alta Direção a: alcançar os resultados e objetivos estratégicos da organização; incentivar uma abordagem mais sistemática e consistente da gestão de riscos legais, e identificar e analisar uma ampla gama de questões de maneira que os riscos legais sejam proativamente tratados com os recursos apropriados e apoiados pela Alta Direção e pelo nível adequado de conhecimento; entender e avaliar melhor a extensão e as consequências de questões e riscos legais e exercer a due diligence apropriada; identificar, analisar e avaliar questões legais e fornecer uma maneira sistemática de tomar decisões informadas; aumentar e incentivar constantemente; a identificação das oportunidades de melhoria contínua.

Convém observar que o risco legal dentro deste documento é amplamente definido e não está limitado a, por exemplo, riscos relacionados com a compliance ou questões contratuais. Inclui isso, mas o risco legal é deliberadamente definido para incluir também riscos de ou para terceiros, onde pode não haver relação contratual, mas onde pode haver uma possibilidade de litígio ou outra ação, dependendo das obrigações contratuais destas terceiras partes com suas partes interessadas.

Este documento fornece orientações para a gestão de riscos legais para que ele se alinhe às atividades de compliance e fornece a garantia necessária para atender às obrigações e aos objetivos da organização; pode ser usado por organizações de todos os tipos e tamanhos para oferecer uma abordagem mais estruturada e consistente à gestão de riscos legais em benefício da organização e de suas partes interessadas em todos os processos. Oferece uma abordagem de gestão integrada à identificação, antecipação e gestão de riscos legais

Igualmente, apoia e complementa as abordagens existentes, aprimorando-as fornecendo melhores informações e insights sobre possíveis questões que a organização possa enfrentar; apoia qualquer procedimento de compliance, que as organizações podem ter implementado, tal como compliance ou outro sistema de gestão; apoia a função de compliance, identificando de maneira mais ampla os aspectos legais e contratuais dos direitos e deveres da organização. Este documento está destinado para que as organizações que o aplicam se beneficiem de melhores resultados comerciais e operacionais como na melhoria de reputação, melhor retenção de funcionários, relacionamentos aprimorados com as partes interessadas e maiores sinergias entre recursos e capacidades.

Embora este documento se destine a ser usado como parte da estrutura da NBR ISO 31000, convém observar que a sua estrutura pode ser usada tanto de forma independente como com outros sistemas de gestão. Este documento não se destina a ser um substituto para os proprietários de riscos que buscam aconselhamento jurídico especializado (interno ou externo); se aplicar ao processo de elaboração ou no lobby de novas leis ou mudanças nas leis existentes. A gestão eficaz de riscos legais requer os valores e princípios introduzidos na NBR ISO 31000, conforme apresentado na figura abaixo.

Os oito elementos são descritos em seguida no contexto da gestão de riscos legais. Adicionalmente, para a gestão do risco legal, convém que o princípio da equidade também seja considerado. A gestão de riscos legais é integrante para a governança global da organização. Convém que as atividades do processo de gestão de riscos legais sejam incorporadas ao planejamento estratégico, às tomadas de decisões de negócios, e aos processos de gestão da organização.

Para a integração da gestão de riscos legais nos processos e atividades organizacionais, convém que papéis e responsabilidades apropriados sejam estabelecidos dentro da organização. Convém que a gestão de riscos legais seja integrada a outros sistemas de gestão, como compliance, segurança, qualidade e controles internos. Ao avaliar os riscos legais e considerar as opções de tratamento, convém que os especialistas no assunto sejam consultados em conjunto com outros peritos ou especialistas.

Ao seguir o processo genérico de gestão de riscos, é importante avaliar os riscos legais da organização, dentro de um contexto apropriado, para que uma abordagem abrangente e consistente à gestão de riscos legais possa ser adotada. Convém que a gestão de riscos legais em uma organização seja personalizada para refletir as diferenças do contexto externo, que inclui o contexto legal e regulatório e as características do setor, bem como o contexto interno da organização, incluindo a natureza da entidade legal, objetivos e valores da organização.

Convém que a organização tenha um entendimento detalhado da aplicabilidade, impacto e consequências da falha em cumprir leis pertinentes, e processos para assegurar que leis novas ou atualizadas aplicáveis sejam adequadamente identificadas, avaliadas em relação ao impacto e interpretadas. Convém que a organização minimize a complexidade e o custo dos procedimentos legais. Convém que a organização tente minimizar e gerenciar as consequências negativas de riscos legais.

As organizações podem buscar ativamente oportunidades para evitar disputas ou litígios, tomando medidas para tratar riscos legais antes que um evento adverso ocorra, ou provavelmente ocorra, ou tente chegar a um acordo de maneira que equilibre custos, objetivos comerciais, reputação e tempo investido pela organização. Ao envolver todas as partes interessadas na gestão de riscos legais, uma organização pode mitigar eventos adversos; incluindo aplicação regulatória.

Convém que a organização tome cuidado para assegurar que privilégios legais (ou sua forma equivalente de proteção na jurisdição pertinente) sejam mantidos na medida do possível e que a confidencialidade seja mantida, mas, em ambos os casos, essas proteções precisam ser avaliadas em relação aos benefícios da inclusão. É importante para uma organização monitorar mudanças nas leis e políticas públicas e no contexto em que opera, e estabelecer indicadores apropriados de alerta precoce.

Para a gestão eficaz de riscos legais, além da experiência de consultores jurídicos internos, se existentes, convém que inteligência de negócios, análise de negócios, bancos de dados e sistemas jurídicos (incluindo gestão de casos), ferramentas e serviços de gestão de arquivos eletrônicos e know-how fornecido por leis externas as empresas, prestadores de serviços e consultores sejam utilizados. Dado que as partes interessadas podem ter conhecimentos, expectativas e visões diferentes em relação aos riscos legais e que essas visões podem ser emocionalmente, socialmente, culturalmente e politicamente construídas e percebidas, convém que a organização desenvolva mecanismos formais e informais para ajudar a assegurar que fatores humanos e culturais não resultem adversamente em riscos legais.

Convém que as organizações também procurem incentivar a realização, os benefícios e as oportunidades da gestão destes riscos. Convém que todo membro da organização esteja ciente de como cada ação ou omissão afeta os riscos legais. Convém que a organização considere e aja de acordo com as lições aprendidas, publique análises críticas de transações, melhores práticas, aconselhamento profissional de advogados internos e externos e alterações aplicáveis na lei.

Para os tomadores de decisão, o estabelecimento do princípio da equidade orienta a gestão de riscos legais, inclui a gestão de conflitos de interesses e fornece uma voz imparcial e independente nas decisões, além de apoiar a due diligence e imparcialidade para os melhores interesses de uma organização. O contexto externo dos riscos legais se refere a fatores que estão fora da organização, mas relacionados à gestão de riscos legais.

Todo esse processo inclui as leis locais e internacionais pertinentes e mudanças nas leis locais e internacionais pertinentes; sindicatos e organizações de empregadores; os serviços externos de provedores e consultores de apoio à gestão de riscos legais, como escritórios de advocacia, auditores externos, e serviços fornecidos de gestão de informação e análise; as partes interessadas externas, como empresas, organizações da sociedade civil, organismos regulatórios, governos locais, público e comunidades de interesse, imprensa e mídia e grupos de interesses especiais, e suas expectativas em relação à gestão de riscos legais; quaisquer atos ou omissões de terceiros, como conduta fraudulenta e enganosa por terceiros; acordos internacionais aplicáveis, memorandos de entendimento; as condições de mercado aplicáveis relacionadas à organização; as ações ou reclamações de terceiros; e as leis dos países onde os produtos/ serviços fornecidos são entregues ou fornecidos.

Ao examinar e entender o contexto externo de riscos legais para organizações que operam em várias jurisdições, convém que as diferenças ambientais e culturais entre diferentes jurisdições sejam consideradas. A aplicação extraterritorial das leis nacionais e qual lei da jurisdição se aplica a uma determinada situação (isto é, conflito de leis e reconhecimento mútuo de leis) e a identificação da jurisdição aplicável também pode requerer consideração.

O contexto interno dos riscos legais está substancialmente no controle ou sujeito à autoridade de uma organização por meio de seus sistemas de governança e gestão. Isso inclui a natureza da pessoa jurídica; a saúde financeira organizacional e seu modelo de negócios; a estrutura jurídica interna da organização, processos e funções; a governança da organização e suas estruturas de valor que promovem a integridade, como código de conduta e outras diretrizes de compliance; o atual estado das questões e assuntos legais e sua abordagem para a gestão de riscos legais; as campanhas de conscientização sobre orientação e melhoria contínua do desempenho em questões de riscos legais para as partes interessadas, sistemas e acordos para melhorar o comportamento das partes interessadas em relação às leis e impedir a conduta fraudulenta e enganosa, como os sistemas de gestão de compliance; a experiência passada e histórico de disputas ou eventos legais desencadeados por risco legal na organização; os ativos que a organização possui, como propriedade intelectual e outros direitos legais para ativos tangíveis e intangíveis usados em processos e atividades; o efeito de direitos e deveres sob contrato; obrigações relacionadas ao dever de cuidar; a negligência e efeitos desencadeadores de indenizações, garantias e cláusulas de não confiança em contratos; os passivos decorrentes de questões trabalhistas, ambientais, tributárias e outras, decorrentes de fusões, aquisições e alienações; a política interna de gestão de riscos legais; outras informações e recursos relacionados aos riscos legais e sua gestão.

A probabilidade de eventos relacionados a riscos legais pode envolver os seguintes fatores: a gama de leis, juntamente com práticas e convenções de execução pelas autoridades reguladoras pertinentes; a melhoria e o compliance da estrutura existente para a gestão de riscos legais, incluindo estratégias, governança, regras internas e políticas; os funcionários e contratados demonstrarem compliance com as leis e as regras e políticas da organização; a frequência e o número de atividades relacionadas aos riscos legais que ocorrem dentro de um determinado período; a falha em registrar, analisar e aprender com eventos anteriores; o benchmarking da frequência e o número de atividades relacionadas a riscos legais que ocorrem dentro de um certo período contra outras organizações. O Anexo C fornece orientações adicionais sobre como estimar a probabilidade de eventos relacionados a riscos legais.

Os sistemas eletrônicos e de automação para residências e/ou edificações

A série NBR IEC 63044 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) define os requisitos aplicáveis a todos os sistemas eletrônicos para residências e/ou edificações (HBES) e aos sistemas de automação e controle de edificações (BACS), bem como especifica os requisitos gerais referentes a estes sistemas de produtos. 

A NBR IEC 63044-1 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 1: Requisitos gerais é aplicável a todos os sistemas eletrônicos para residências e/ou edificações (HBES) e aos sistemas de automação e controle de edificações (BACS), bem como especifica os requisitos gerais referentes a estes sistemas de produtos. É aplicável (mas não limitado) a estações de operação e outros dispositivos de interface homem-sistema, dispositivos para as funções de gestão, dispositivos de comando, estações de automação e controladores específicos para uma aplicação, dispositivos de campo e suas interfaces, e cabeamento e interconexão dos dispositivos utilizados na rede HBES/BACS dedicada. Fornece uma visão de conjunto da série NBR IEC 63044. Para permitir a integração de um amplo espectro de aplicações, a série NBR IEC 63044 abrange os seguintes elementos: segurança elétrica, segurança funcional, condições ambientais, requisitos de EMC e as regras e topologias de instalação e de cabeamento. A NBR IEC 63044 é uma série de normas de família de produtos.

A NBR IEC 63044-3 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 3: Requisitos de segurança elétrica fornece os requisitos de segurança elétrica relativos à rede HBES/BACS, além das normas de segurança de produtos aplicáveis aos dispositivos HBES/BACS. Também é aplicável aos dispositivos utilizados em uma rede HBES/BACS para os quais não existe uma norma de segurança de produto HBES/BACS específica. Adicionalmente, especifica os requisitos de segurança relativos à interface dos equipamentos destinados a serem conectados a uma rede HBES/BACS. Não é aplicável às interfaces com outras redes.

Uma rede TIC dedicada, abrangida pela IEC 62949, é um exemplo de outras redes. Este documento é aplicável a: estações de operação e outros dispositivos de interface homem-sistema, dispositivos para as funções de gestão, dispositivos de comando, estações de automação e controladores específicos para uma aplicação, dispositivos de campo e suas interfaces, e cabeamento e interconexão dos dispositivos utilizados na rede HBES/BACS dedicada. Este documento abrange os requisitos e critérios de conformidade a seguir: proteção contra os perigos no dispositivo; proteção contra as sobretensões na rede; proteção contra a corrente de toque; proteção contra os perigos provocados por diferentes tipos de circuitos; proteção do cabeamento de comunicação contra as temperaturas excessivas provocadas por uma corrente excessiva.

A NBR IEC 63044-5-1 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 5-1: Requisitos gerais de EMC, condições e montagem de ensaios é uma norma da família de produtos que estabelece o nível mínimo de desempenho EMC para a rede HBES/BACS, além das normas EMC de produtos aplicáveis aos dispositivos HBES/BACS. A NBR IEC 63044-5-2 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 5-2: Requisitos EMC para HBES/BACS a serem utilizados nos ambientes residenciais, comerciais e industriais leves especifica os requisitos EMC para HBES/BACS a serem instalados em ambientes residenciais, comerciais e industriais leves, de acordo com a definição indicada na IEC 61000-6-1. A NBR IEC 63044-5-3 de 11/2020 – Sistemas eletrônicos para residências e edificações (HBES) e sistemas de automação e controle de edificações (BACS) – Parte 5-3: Requisitos EMC para HBES/BACS a serem utilizados em ambientes industriais especifica os requisitos EMC para os HBES/BACS a serem instalados em ambientes industriais, de acordo com a definição indicada na IEC 61000-6-2.

Confira algumas perguntas relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

Quais são as aplicações e dos grupos de aplicações de serviços relativos aos sistemas HBES/BACS?

Como deve ser feita a proteção contra corrente de toque?

Como evitar o somatório das correntes de toque?

Como deve ser executada a proteção do cabeamento de comunicação contra temperaturas excessivas?

Quais são os requisitos de imunidade EMC para as portas de rede HBES/BACS?

A IEC 63044-2 fornece as condições ambientais para todos os dispositivos conectados aos sistemas HBES/BACS e define os requisitos gerais para os dispositivos que funcionam em locais protegidos contra as intempéries, ambientes marinhos, durante o uso portátil, bem como durante o armazenamento e transporte. A NBR IEC 63044-3 fornece os requisitos de segurança elétrica relativos à rede HBES/BACS, adicionalmente às normas de segurança de produtos aplicáveis aos dispositivos HBES/BACS. Também é aplicável aos dispositivos utilizados em uma rede HBES/BACS, para a qual não existe uma norma específica de segurança de produto HBES/BACS.

Adicionalmente, a NBR IEC 63044-3 especifica os requisitos de segurança relativos à interface dos equipamentos destinados a serem conectados a uma rede HBES/BACS. Ela não é aplicável a outras interfaces com outras redes. Um exemplo de outras redes é uma rede TIC dedicada, abrangida pela IEC 62949.

A IEC 63044-4 define os requisitos relativos à segurança funcional, aplicáveis aos produtos e sistemas HBES/BACS. Os requisitos também podem ser aplicáveis às funções distribuídas de qualquer equipamento conectado em um sistema de automação de residências ou de edificações, se não existir uma norma de segurança funcional específica para este equipamento ou este sistema. A IEC 63044-4 não especifica os requisitos de segurança funcional para os sistemas relacionados à segurança.

Esta norma da família de produtos define o nível mínimo de desempenho EMC para a rede HBES/BACS, adicionalmente às normas EMC de produtos aplicáveis aos dispositivos HBES/BACS. Ela também é aplicável aos dispositivos utilizados em uma rede HBES/BACS, para a qual não existe uma norma EMC específica de produto HBES/BACS específica.

Adicionalmente, a IEC 63044-5 especifica os requisitos EMC para a interface dos equipamentos destinados a serem conectados a uma rede HBES/BACS. Ela não é aplicável às interfaces com outras redes. A NBR IEC 63044-5-1 fornece os requisitos de desempenho gerais e as montagens de ensaio. A NBR IEC 63044-5-2 especifica os requisitos EMC relativos aos sistemas HBES/BACS a serem instalados em um ambiente residencial, comercial e industrial leve, de acordo com a definição indicada na IEC 61000-6-1.

A NBR IEC 63044-5-3 especifica os requisitos EMC relativos aos sistemas HBES/BACS a serem instalados em um ambiente industrial, de acordo com a definição indicada na IEC 61000-6-2. A expressão ambiente industrial abrange os locais de escritório que podem estar presentes em edificações industriais. Os sistemas de automação industrial não se enquadram no escopo da NBR IEC 63044-5-3.

A IEC 63044-6 especifica os requisitos HBES específicos adicionais, referentes às regras gerais para o planejamento e a instalação dos sistemas HBES/BACS. As redes elétricas não se enquadram no escopo da IEC 63044-6. A tabela abaixo fornece uma visão geral dos sistemas eletrônicos para residências e edificações (HBES) e para os sistemas de automação e controle de edificações (BACS).

Pode-se acrescentar que a Série NBR IEC 63044 trata do desenvolvimento e dos ensaios dos sistemas eletrônicos para residências e edificações (HBES) e dos sistemas de automação e controle de edificações (BACS). Este documento trata dos requisitos de segurança elétrica para os HBES/BACS. Este documento é baseado na filosofia de que um dispositivo considerado eletricamente seguro, de acordo com uma norma de segurança de produto apropriado, também permanece seguro quando for conectado a uma rede.

Este documento especifica, adicionalmente à norma do produto específico, os requisitos de segurança elétrica necessários para que um dispositivo HBES/BACS conectado a uma rede permaneça seguro nas condições normais e de primeira falta da rede HBES/BACS e, ao mesmo tempo, nas condições normais e condições de primeira falta de um ou mais dispositivos HBES/BACS conectados à rede HBES/BACS.

Esta disposição compreende a proteção contra as sobretensões na rede, a proteção contra os perigos provocados pela conexão de diferentes tipos de circuito, a limitação da corrente de toque a uma rede e a proteção do cabeamento de comunicação contra as temperaturas excessivas. A rede HBES/BACS corresponde a qualquer interconexão entre os produtos HBES/BACS. As redes HBES/BACS podem ser uma rede TIC com as interfaces classificadas de acordo com a IEC 62949, ou uma rede dedicada classificada como um circuito de alimentação principal, ELV, FELV, SELV ou PELV.

Para os produtos HBES/BACS conectados a uma rede TIC, os requisitos da IEC 62949 são aplicáveis. Para os produtos HBES/BACS conectados a uma rede HBES/BACS dedicada, os requisitos relativos à separação elétrica entre o dispositivo e o circuito da rede são especificados (ver a tabela acima). Estas especificações das separações elétricas seguem o princípio das publicações básicas de segurança das IEC 60664-1 e IEC 61140, juntamente com os requisitos de instalação da IEC 60364. Os compromissos descritos a seguir são utilizados.

De acordo com os princípios da IEC 60664-1, a tensão de impulso nominal para a separação deve ser a mais elevada da tensão de impulso na rede e da tensão de impulso nominal do circuito do dispositivo a ser conectado à rede. As categorias de sobretensão consideradas pela IEC 60664-1 se referem às sobretensões provenientes diretamente da rede elétrica principal pela alimentação.

As sobretensões provenientes de outras fontes (por exemplo, por acoplamentos capacitivos) não são especificadas na IEC 60664-1. A IEC 60664-1 recomenda que as comissões de estudos especifiquem as categorias de sobretensão ou as tensões de impulso nominais, conforme apropriado. Para os objetivos deste documento, as seguintes tensões de impulso foram especificadas.

Para as redes com separação galvânica da rede elétrica principal (circuito FELV, SELV ou PELV), a sobretensão de impulso proveniente do lado da rede da separação foi limitada a 2,5 kV para as redes instaladas de maneira permanente e a 1,5 kV para as redes destacáveis. Todos os sistemas HBES/BACS, as mídias e os dispositivos, bem como a sua instalação, devem assegurar um funcionamento seguro por uma proteção contra os perigos mecânicos, químicos, ambientais e outros perigos, e uma proteção contra os choques elétricos, queimaduras e incêndio, durante uma utilização normal, assim como nas condições anormais especificadas.

O conjunto dos sistemas HBES/BACS, as mídias e os dispositivos, bem como a sua instalação, devem assegurar um funcionamento seguro por uma proteção contra os choques elétricos, queimaduras e incêndio, durante uma utilização normal, assim como nas condições de primeira falta. Para os produtos conectados a uma rede HBES/BACS dedicada, conforme classificada, a proteção contra os choques elétricos é aplicável. A tabela abaixo especifica a separação elétrica requerida entre o circuito do dispositivo e o circuito da rede HBES/BACS, e se eles são aplicáveis adicionalmente à norma do produto.

A tabela abaixo também pode ser utilizada como guia para a separação entre os diferentes circuitos no interior de um dispositivo, caso a norma do produto aplicável não especifique estes requisitos. As informações aplicáveis relativas à classificação de segurança das portas de acesso (categoria de sobretensão e tipo de circuito) e todas as restrições aplicáveis (por exemplo, a topologia da rede) devem ser mencionadas na documentação do fabricante.

IEC 60352-5: os requisitos das conexões sem solda ou de pressão

Essa norma, editada pela International Electrotechnical Commission (IEC) em 2020, é aplicável a conexões sem solda para uso em equipamentos e componentes elétricos e eletrônicos. A conexão de pressão consiste em uma terminação com uma zona de pressão adequada que é inserida em um orifício de uma placa. As informações sobre materiais e dados da experiência industrial estão incluídas além dos procedimentos de ensaio para fornecer conexões eletricamente estáveis sob condições ambientais especificadas.

A IEC 60352-5:2020 – Solderless connections – Part 5: Press-in connections – General requirements, test methods and practical guidance é aplicável a conexões sem solda ou de pressão para uso em equipamentos e componentes elétricos e eletrônicos. A conexão de pressão consiste em uma terminação com uma zona de pressão adequada que é inserida em um orifício de uma placa. As informações sobre materiais e dados da experiência industrial estão incluídas além dos procedimentos de ensaio para fornecer conexões eletricamente estáveis sob condições ambientais especificadas.

O objetivo deste documento é determinar a adequação das conexões de pressão sob condições mecânicas, elétricas e atmosféricas, conforme especificado pelo fabricante da terminação de pressão, e fornecer um meio de comparar os resultados dos ensaios quando as ferramentas usadas para fazer as conexões são de diferentes designs ou fabricação. Esta quinta edição cancela e substitui a quarta edição publicada em 2012. Esta edição constitui uma revisão técnica.

Assim, inclui algumas alterações significativas em relação à edição anterior. Foi revisado o escopo removendo a expressão … equipamentos de telecomunicações e em dispositivos eletrônicos que empregam técnicas semelhantes e substituindo-a por … equipamentos e componentes elétricos e eletrônicos no primeiro parágrafo. Foi adicionado os termos e definições para placa, orifício e placa de metal para reconhecer que as terminações prensadas estão sendo usadas em muitos materiais de cartão não impressos.

Foram feitas algumas alterações editoriais para esclarecer a diferença entre os dois cronogramas de provas para qualificação e aplicação e realizada uma modificação do limite superior da espessura do cobre do furo passante para refletir as tendências reais do mercado e práticas de fabricação. Foi removido o ensaio de flexão, pois ele é muito específico para aplicações de tecnologia de pressão não mais comuns.

Foram adicionados gráficos para documentar a força de pressão para dentro e para fora, uma vez que esta é uma prática de ensaio comum e fornece uma visão mais detalhada do desempenho mecânico da zona de contato. Foi estabelecida uma redução do número de corpos-de-prova necessários, visto que no esquema do ensaio anterior muitos corpos-de-prova eram descartados. Houve uma nova redação em 4.5 para terminações trincadas e tortas e a Figura 7b foi adicionada para mostrar os locais de conexão V e A quando a terminação de pressão não se projeta através do lado inferior da placa.

Conteúdo da norma

PREFÁCIO…………………… 4

INTRODUÇÃO……………… 6

1 Escopo………………………. 7

2 Referências normativas…… 7

3 Termos e definições……… 8

4 Requisitos………….. 10

4.1 Geral…………… 10

4.2 Ferramentas……………… 10

4.2.1 Geral…………….. 10

4.2.2 Avaliação de ferramentas…………. 10

4.3 Terminações de pressão………………… 10

4.3.1 Materiais……………….. 10

4.3.2 Dimensões da zona de pressão…………………….. 10

4.3.3 Acabamentos da superfície ……………………….. 10

4.4 Placas de ensaio………………………… 11

4.4.1 Geral………………………… 11

4.4.2 Materiais…………. ……. 11

4.4.3 Espessura das placas de ensaio………………. 11

4.4.4 Furo………………………………. 11

4.4.5 Furo de passagem………………..12

4.5 Conexões de pressão……………….. 13

4.6 Especificação do fabricante ………… 14

5 Ensaios………………………………. 15

5.1 Observações gerais……………… … 15

5.1.1 Geral………….. ……… 15

5.1.2 Condições padrão para ensaio ……….. 15

5.1.3 Montagem das amostras………………………… 15

5.2 Métodos de ensaio e medição………………….. 16

5.2.1 Exame geral ……………………..16

5.2.2 Ensaios mecânicos ………………… 16

5.2.3 Medições de resistência de contato…………… 19

5.2.4 Ensaios climáticos………………………………… 20

5.3 Cronogramas de ensaio……………….. 21

5.3.1 Geral…………………………… ……… 21

5.3.2 Cronograma de ensaio de qualificação………………… 21

5.3.3 Fluxograma………………… 23

5.3.4 Cronograma de ensaio de aplicativo …………………. 24

5.4 Relatório de ensaio …………………….. ……….. 25

5.4.1 Relatório de ensaio de qualificação…………………… 25

5.4.2 Relatório de ensaio de aplicação……………………….. 26

Anexo A (informativo) Orientação prática………………….. 27

A.1 Geral…………………………… 27

A.2 Capacidade de condução de corrente …………………. 27

A.3 Informação da ferramenta ………… …… 27

A.3.1 Ferramenta de inserção de terminação……………….. 27

A.3.2 Bloco de suporte ………………………………. 27

A.3.3 Ferramenta de remoção de terminação…………………… 28

A.4 Informações para terminação e conexões de pressão…………. 28

A.4.1 Geral………………………. 28

A.4.2 Recursos de projeto………………………….. 28

A.4.3 Materiais e acabamentos de superfície……………………. 29

A.4.4 Terminações de pressão com elementos de contato do conector……………….. 29

A.5 Informações do cartão impresso ……………………………… 29

A.5.1 Geral……………………… ……… 29

A.5.2 Furo de passagem ……………………….. 30

A.5.3 Dimensionamento do furo …………………….. 30

A.5.4 Fabricação do furo, exemplo com furação para FR4…………….. 31

A.5.5 Fabricação do orifício com materiais diferentes de FR4……………… 31

A.6 Informações de conexão de entrada ……………………. 31

A.6.1 Geral…………… ……… 31

A.6.2 Conexão de pressão………………………………. 31

A.6.3 Reparo de conexões de pressão……………… 32

A.6.4 Combinação de conexões de pressão e conexões soldadas…………. 33

A.6.5 Efeitos de corrosão eletrolítica bimetálica………….. 33

Bibliografia………………………… 34

Essa parte inclui requisitos e ensaios relevantes (normativos), bem como uma orientação prática no Anexo A (informativo) para conexões de pressão. Dois cronogramas de ensaio são fornecidos. O cronograma de ensaio de qualificação se aplica a conexões individuais de pressão para demonstrar a adequação da zona de pressão.

Essas conexões de pressão são ensaiadas de acordo com a especificação fornecida pelo fabricante da terminação de pressão (ver 4.6) levando em consideração os requisitos da Cláusula 4. A qualificação é independente da aplicação da zona de pressão em um componente.

O cronograma de ensaio de aplicação se aplica a conexões de pressão que fazem parte de um componente e já estão qualificadas para o cronograma de ensaio de qualificação. As sequências de ensaio enfocam o desempenho da conexão de pressão que é afetada pela implementação em um componente.

Os requisitos e ensaios se aplicam a todos os elementos envolvidos na fabricação de uma conexão de pressão: a terminação de pressão, que pode ser parte de um componente (por exemplo, um conector multipolar); a placa, a placa impressa ou MID (dispositivo de interconexão moldado) – (dimensões dos orifícios de passagem) para os quais a terminação é adequada; e a (s) ferramenta (s) necessária (s) para produzir a conexão de pressão. Como o fabricante da terminação de pressão deve fornecer a parte principal das informações necessárias para a qualificação, a palavra fabricante é usada em todo este documento para simplificar e indicar o fabricante da terminação de pressão.

Os fabricantes dos outros itens que desempenham um papel na qualificação das conexões de pressão são especificados, se necessário, como o fabricante da placa ou fabricante da (s) ferramenta (s). A orientação prática no Anexo A (informativo) serve como um guia para o acabamento exigido em 4.1. Chama-se a atenção para o fato de que algumas indústrias (por exemplo, automotiva, aeronáutica e aeroespacial, nuclear, militar) podem ter padrões de mão de obra e/ou qualidade específicos para determinados requisitos, que estão fora do escopo deste documento. O Guia IEC 109 defende a necessidade de minimizar o impacto de um produto no ambiente natural ao longo de seu ciclo de vida.

A prática para proteção de dados pessoais

Deve-se conhecer os objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização.

A NBR ISO/IEC 29151 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Código de prática para proteção de dados pessoais estabelece objetivos de controle, controles e diretrizes para implementar controles, para atender aos requisitos identificados por uma avaliação de risco e impacto relacionada à proteção de dados pessoais (DP). Em particular, especifica diretrizes baseadas na NBR ISO/IEC 27002, considerando os requisitos para o tratamento de DP que podem ser aplicáveis no contexto do (s) ambiente (s) de risco de segurança da informação de uma organização. Aplica-se a todos os tipos e tamanhos de organizações que atuam como controladores de DP (conforme estabelecido na NBR ISO/IEC 29100), incluindo empresas públicas e privadas, entidades governamentais e organizações sem fins lucrativos que tratam DP.

O número de organizações tratando dados pessoais (DP) está crescendo, assim como o volume de DP com que essas organizações lidam. Ao mesmo tempo, as expectativas da sociedade em relação à proteção de DP e à segurança de dados relacionados a indivíduos também estão aumentando. Vários países estão incrementando suas leis para lidar com o aumento do número de significativas violações de dados.

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Qual é a consideração do ciclo de vida do DP?

Quais devem ser as políticas para segurança da informação em DP?

Quais são as diretrizes de implementação para a proteção de DP?

Qual deve ser a política para uso de dispositivo móvel?

O que se deve fazer em relação à conscientização, educação e treinamento em segurança da informação?

À medida que o número de violações de DP aumenta, as organizações que coletam ou tratam DP precisarão cada vez mais de orientações sobre como convém protegê-los, a fim de reduzir o risco de ocorrência de violações de privacidade e o impacto de violações na organização e às pessoas envolvidas. Este documento fornece essas orientações.

Este documento oferece orientações aos controladores de DP em uma ampla variedade de controles de segurança da informação e de proteção de DP que são comumente aplicados em diferentes organizações que lidam com a proteção de DP. As demais partes da família de normas ISO/IEC fornecem orientações ou requisitos sobre outros aspectos do processo geral de proteção de DP. A NBR ISO/IEC 27001 especifica um processo de gestão de segurança da informação e os requisitos associados, os quais podem ser usados como base para a proteção de DP. A NBR ISO/IEC 27002 fornece diretrizes para os padrões organizacionais de segurança da informação e práticas de gestão da segurança da informação, incluindo a seleção, implementação e gestão de controles, considerando o (s) ambiente (s) de risco (s) de segurança da informação da organização.

A ISO/IEC 27009 especifica os requisitos para o uso da NBR ISO/IEC 27001 em qualquer setor específico (campo, área de aplicação ou setor de mercado). Explica como incluir os requisitos adicionais aos da NBR ISO/IEC 27001, como refinar qualquer um dos requisitos da NBR ISO/IEC 27001 e como incluir controles ou conjuntos de controles além do Anexo A da NBR ISO/IEC 27001. A NBR ISO/IEC 27018 oferece orientações para organizações que atuam como operadores de DP ao oferecer recursos de tratamento por meio de serviços em nuvem.

A NBR ISO/IEC 29134 fornece diretrizes para identificar, analisar e avaliar riscos de privacidade, enquanto a NBR ISO/IEC 27001, juntamente com a NBR ISO/IEC 27005, fornece uma metodologia para identificar, analisar e avaliar riscos de segurança. Dessa forma, os controles devem ser escolhidos com base nos riscos identificados como resultado de uma análise de risco para desenvolver um sistema abrangente e consistente de controles. Convém que os controles sejam adaptados ao contexto do tratamento específico de DP.

Este documento contém duas partes: o corpo principal que consiste nas seções 1 a 18 e um anexo normativo. Esta estrutura reflete a prática normal para o desenvolvimento de extensões setoriais da NBR ISO/IEC 27002. A estrutura do corpo principal deste documento, incluindo os títulos das seções, reflete o corpo principal da NBR ISO/IEC 27002. A introdução e as seções 1 a 4 fornecem informações sobre o uso deste documento.

Os títulos das seções 5 a 18 refletem os da NBR ISO/IEC 27002, refletindo o fato de que este documento se baseia nas diretrizes da NBR ISO/IEC 27002, adicionando novos controles específicos para a proteção de DP. Muitos dos controles da NBR ISO/IEC 27002 não precisam de extensão no contexto dos controladores de DP. No entanto, em alguns casos, são necessárias diretrizes adicionais de implementação, que são fornecidas no cabeçalho apropriado (e no número da seção) da NBR ISO/IEC 27002.

O anexo normativo contém um conjunto estendido de controles específicos de proteção de DP que suplementam os dados na NBR ISO/IEC 27002. Esses novos controles de proteção de DP, com suas diretrizes associadas, são divididos em 12 categorias, correspondentes à política de privacidade e aos 11 princípios de privacidade da NBR ISO/IEC 29100: consentimento e escolha; especificação e legitimidade de objetivo; limitação de coleta; minimização de dados; limitação de uso, retenção e divulgação; precisão e qualidade; abertura, transparência e notificação; acesso e participação individual; responsabilização; segurança da informação; e compliance com a privacidade. A figura abaixo descreve o relacionamento entre este documento e a família de normas ISO/IEC.

Este documento inclui diretrizes baseadas na NBR ISO/IEC 27002 e as adapta conforme necessário para atender aos requisitos de proteção à privacidade que surgem do tratamento de DP. Em domínios diferentes de tratamento, como: serviços públicos de nuvem; aplicativos de redes sociais; dispositivos conectados à internet de uso doméstico; pesquisa, análise; segmentação de DP para publicidade e propósitos semelhantes; programas de big data analytics; tratamento nas relações trabalhistas; gestão de negócios em vendas e serviços (planejamento de recursos empresariais, gestão de relacionamento com clientes).

Em diferentes locais, como em uma plataforma de processamento pessoal fornecida a um indivíduo (por exemplo, cartões inteligentes, smartphones e seus aplicativos, medidores inteligentes, dispositivos wearables); nas redes de transporte e coleta de dados (por exemplo, onde os dados de localização do celular são criados operacionalmente pelo processamento da rede, que podem ser considerados DP em algumas jurisdições); dentro da própria infraestrutura de tratamento de uma organização; na plataforma de tratamento de terceiros. Para as características de coleta, como coleta única de dados (por exemplo, ao se registrar em um serviço); coleta de dados contínua (por exemplo, monitoramento frequente de parâmetros de saúde por sensores no corpo ou no indivíduo, várias coletas de dados usando cartões de pagamento sem contato para pagamento, sistemas de coleta de dados de medidores inteligentes, etc.).

A coleta de dados contínua pode conter ou produzir tipos de DP comportamentais, locais e outros. Nesses casos, o uso de controles de proteção de DP que permitam gerenciar o acesso e a coleta com base no consentimento e que permitem que o titular de DP exerça controle apropriado sobre esse acesso e coleta, precisa ser considerado. Este documento fornece um conjunto de controles para proteção de DP.

O objetivo da proteção de DP é permitir que as organizações implementem um conjunto de controles como parte de seu programa geral de proteção de DP. Estes controles podem ser usados em uma estrutura para manter e melhorar o compliance com leis e regulamentos relacionados à privacidade, gestão de riscos de privacidade e para atender às expectativas de titulares de DP, reguladores ou clientes de DP, de acordo com os princípios de privacidade descritos na NBR ISO/IEC 29100.

A organização precisa identificar os seus requisitos de proteção de DP. Os princípios de privacidade da NBR ISO/IEC 29100 se aplicam à identificação de requisitos. Existem três fontes principais de requisitos de proteção de DP: requisitos legais, estatutários, regulamentares e contratuais relacionados à proteção de DP, incluindo, por exemplo, requisitos de DP que uma organização, seus parceiros comerciais, contratados e prestadores de serviços precisam cumprir; avaliação de riscos (ou seja, riscos de segurança e riscos de privacidade) para a organização e o titular de DP, considerando a estratégia e os objetivos gerais de negócios da organização, por meio de uma avaliação de riscos; políticas corporativas: uma organização também pode optar voluntariamente por ir além dos critérios derivados de requisitos anteriores.

Também convém que as organizações considerem os princípios (ou seja, princípios de privacidade estabelecidos na NBR ISO/IEC 29100), objetivos e requisitos de negócios para o tratamento de DP que foram desenvolvidos para apoiar suas operações. Convém que os controles de proteção de DP (incluindo controles de segurança) sejam selecionados com base em uma avaliação de risco. Os resultados de uma avaliação de impacto de privacidade (privacy impact assessments – PIA), por exemplo, conforme especificado na NBR ISO/IEC 29134, ajudam a orientar e determinar as ações e prioridades de tratamento apropriadas para gerenciar riscos à proteção de DP e para implementar controles selecionados para proteção contra estes riscos.

Um documento de PIA, como a NBR ISO/IEC 29134, pode fornecer orientações para a PIA, incluindo recomendações sobre avaliação de riscos, plano de tratamento de riscos, aceitação de risco e análise crítica de risco. Uma avaliação de risco de privacidade pode ajudar as organizações a identificarem os riscos específicos de violações de privacidade resultantes de atividades de tratamento não autorizadas por lei ou de desconsideração de direitos do titular de DP envolvido em uma operação prevista.

Convém que as organizações identifiquem e implementem controles para tratar os riscos identificados pelo processo de impacto de risco. Convém que os controles e tratamentos então sejam documentados, idealmente separadamente em um registro de riscos. Certos tipos de tratamento de DP podem assegurar controles específicos para os quais a necessidade só se torna aparente uma vez que uma operação prevista tenha sido cuidadosamente analisada.

Os controles podem ser selecionados a partir deste documento (que inclui por referência os controles da NBR ISO/IEC 27002, criando um conjunto de controles de referência combinados). Se necessário, os controles também podem ser selecionados de outros conjuntos de controles ou novos controles podem ser projetados para atender a necessidades específicas, conforme apropriado. A seleção dos controles depende de decisões organizacionais com base nos critérios para opções de tratamento de riscos e na abordagem geral de gestão de riscos aplicada à organização e, por meio de acordos contratuais, a seus clientes e fornecedores, e convém que também esteja sujeita a todas às legislações e aos regulamentos nacionais e internacionais aplicáveis.

A seleção e a implementação de controles também dependem da função da organização no fornecimento de infraestrutura ou serviços. Muitas organizações diferentes podem estar envolvidas no fornecimento de infraestrutura ou serviços. Em algumas circunstâncias, os controles selecionados podem ser exclusivos para uma organização específica. Em outros casos, pode haver funções compartilhadas na implementação de controles.

Convém que os acordos contratuais especifiquem claramente as responsabilidades de proteção de DP de todas as organizações envolvidas no fornecimento ou uso dos serviços. Os controles neste documento podem ser usados como referência para organizações que tratam DP e destinam-se a ser aplicáveis a todas as organizações que atuam como controladores de DP. Convém que as organizações que atuam como operadores de DP o façam, de acordo com as instruções do controlador de DP.

A conformidade das canaletas e eletrodutos não circulares

Deve-se compreender os requisitos e os ensaios para os sistemas de canaletas (SC) e os sistemas de eletrodutos não circulares (SENC), destinados à acomodação de condutores isolados, cabos e eventuais dispositivos elétricos e, se necessário, à sua separação para a proteção elétrica, nas instalações elétricas e/ou de sistemas de comunicação.

A NBR IEC 61084-1 de 11/2020 – Sistemas de canaletas e eletrodutos não circulares para instalações elétricas – Parte 1: Requisitos gerais especifica os requisitos e os ensaios para os sistemas de canaletas (SC) e os sistemas de eletrodutos não circulares (SENC), destinados à acomodação de condutores isolados, cabos e eventuais dispositivos elétricos e, se necessário, à sua separação para a proteção elétrica, nas instalações elétricas e/ou de sistemas de comunicação. A tensão máxima destas instalações é de 1.000 V em corrente alternada e de 1.500 V em corrente contínua. Esta norma não é aplicável aos sistemas de eletrodutos circulares, sistemas de bandejas, sistemas de leitos para cabos (sistema escada), sistemas de linhas elétricas pré-fabricadas ou equipamentos abrangidos por outras normas. Esta parte da série NBR IEC 61084 é destinada a ser utilizada juntamente com as suas partes correspondentes.

Acesse algumas dúvidas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como deve se comportar as conexões mecânicas?

Quais são os valores de torque para o ensaio das conexões com parafuso?

O que deve ser feito em relação ao acesso às partes vivas?

O que deve fazer a retenção do cabo?

Quais as forças e torques a serem aplicados na ancoragem do cabo?

Os sistemas de canaletas (SC) e de eletrodutos não circulares (SENC) devem ser projetados e construídos de maneira que, se necessário, proporcionem uma proteção mecânica segura aos condutores isolados, cabos e outros equipamentos possíveis que eles contenham. Se necessário, o sistema deve também assegurar uma proteção elétrica apropriada. Além disso, os componentes do sistema devem resistir aos esforços prováveis de ocorrer na temperatura mínima classificada de armazenamento e de transporte, de instalação e utilização, na temperatura máxima de utilização e nas práticas recomendadas de instalação e de utilização.

O equipamento associado a um componente do sistema ou nele incorporado, mas que não seja um componente do sistema, deve somente atender à norma correspondente deste equipamento, se existir. No entanto, pode ser necessário incorporar este equipamento em uma disposição de ensaio, com o objetivo de submeter ao ensaio sua interface com o SC/SENC. A conformidade é verificada pela realização de todos os ensaios especificados. Os ensaios previstos nesta norma são os ensaios de tipo.

As amostras de componentes do sistema, daqui em diante, são chamadas de amostras. Salvo especificação contrária, os ensaios são realizados considerando a classificação e as funções declaradas do sistema, com SC/SENC montados e instalados como em uso normal, de acordo com as instruções do fabricante. Os ensaios nos componentes não metálicos do sistema ou nos componentes compostos do sistema devem ser realizados após 168 h de sua fabricação. Durante este período, as amostras podem ser envelhecidas, se necessário.

Salvo especificação contrária, os ensaios são realizados a uma temperatura ambiente de 20 °C ± 5 °C. Para um determinado ensaio, as amostras de comprimento de canaletas ou de comprimento de eletrodutos não circulares são coletadas em diferentes comprimentos. Salvo especificação contrária, todos os ensaios são realizados em amostras novas. Quando tratamentos tóxicos ou perigosos são utilizados, devem ser tomadas precauções para proteger a pessoa que realiza o ensaio.

Salvo especificação contrária, três amostras são submetidas aos ensaios e os requisitos são atendidos, se todos os ensaios forem atendidos. Se somente uma das amostras não atender a um ensaio devido a um defeito de montagem ou de fabricação, este ensaio e todos os anteriores que possam ter influenciado os resultados do ensaio devem ser repetidos, e os ensaios seguintes devem ser realizados na ordem requerida em um outro lote de amostras, e então todas as amostras devem atender os requisitos.

O solicitante, quando submeter um lote de amostras, também pode fornecer um lote adicional de amostras, que pode ser utilizado em caso de falha de uma das amostras. O laboratório deve, então, sem pedido adicional, ensaiar o lote adicional de amostras, e somente rejeitará se uma falha adicional ocorrer. Se o lote adicional de amostras não for fornecido inicialmente, a falha de uma amostra implicará em rejeição.

O grau de proteção IP4X ou qualquer grau de proteção mais elevado não pode ser declarado quando ele depender de uma junção de extremidade ou da precisão do corte do comprimento da canaleta ou do comprimento do eletroduto não circular ou das tampas de acesso, sem fornecer os acessórios de encaminhamento apropriados, ou dos meios de montagem apropriados ou dos meios de vedação adicionais pré-fabricados de fábrica. O grau de proteção IPX1 ou qualquer grau de proteção mais elevado não pode ser declarado quando ele depender de uma junção de extremidade ou da precisão do corte do comprimento da canaleta ou do comprimento do eletroduto não circular ou das tampas de acesso, sem fornecer os acessórios de encaminhamento apropriados, ou dos meios de montagem apropriados ou dos meios de vedação adicionais pré-fabricados de fábrica.

O grau de proteção IPXX-D não pode ser declarado quando ele depender de uma junção de extremidade ou da precisão do corte do comprimento da canaleta ou do comprimento do eletroduto não circular ou das tampas de acesso, sem fornecer os acessórios de encaminhamento apropriados, ou dos meios de montagem apropriados ou dos meios de vedação adicionais pré-fabricados de fábrica. Cada componente do sistema deve ser marcado com o nome ou a marca comercial, ou a marca de identificação do fabricante ou do vendedor responsável; uma marcação de identificação do produto que pode ser, por exemplo, uma referência de catálogo, um símbolo ou similar.

Se os componentes do sistema, que não o comprimento de canaleta, o comprimento de eletrodutos não circulares ou o suporte de montagem de dispositivos elétricos, forem fornecidos em uma embalagem e se não for possível ter as duas marcações legíveis devido ao pequeno tamanho do produto: se somente uma marcação legível for possível de ser realizada no produto, que seja suficiente marcar na menor embalagem fornecida o nome ou a marca comercial, ou a marca de identificação do fabricante ou do vendedor responsável; se nenhuma marcação legível for possível de ser realizada no produto, que seja suficiente colocar as duas marcações na menor embalagem fornecida.

Os bornes para a conexão do terra de proteção devem ser marcados de acordo com os símbolos abrangidos pela IEC 60417. Esta marcação não pode ser colocada em parafusos ou em qualquer outra parte facilmente removível. Um componente do sistema propagante de chama deve ser claramente identificado como sendo propagante de chama, no componente do sistema e na menor embalagem ou rótulo fornecido.

Quando não for possível realizar este meio de identificação nos componentes pequenos do sistema, devido às pequenas dimensões do produto, que seja suficiente colocar este meio de identificação na menor embalagem fornecida. A conformidade é verificada por inspeção utilizando somente uma amostra. A marcação deve ser durável e facilmente legível.

A conformidade é verificada por inspeção, com visão normal ou corrigida sem ampliação adicional, por meio de fricção manual, por 15 s, com um pedaço de algodão embebido em água, e novamente por 15 s, com um pedaço de algodão embebido em uma solução a 95% de n-hexano (número de registro CAS (Chemical Abstracts Service) 110-54-3). O n-hexano a 95% (número de registro CAS (Chemical Abstracts Service) 110-54-3) está disponível em uma variedade de fornecedores de produtos químicos como um solvente de cromatografia líquida de alta pressão ou solvente de HPLC (High Pressure Liquid Chromatography).

Quando o líquido especificado for utilizado para o ensaio, devem ser tomadas precauções para proteger os técnicos do laboratório, conforme especificado na folha de dados de segurança do material, fornecida pelo fornecedor de produtos químicos. A marcação a laser, feita diretamente no produto, e a marcação realizada por moldagem, ou estampagem, ou gravação (entalhe em relevo), não estão sujeitas a este ensaio. Os produtos, conforme a edição anterior da norma, não precisam ser ensaiados novamente, pois este requisito não afeta a segurança do produto.

A superfície de marcação a ser ensaiada deve estar seca antes de friccionar a marcação com a solução solvente a 95 % de n-hexano. A fricção deve começar imediatamente após ser embebido o pedaço de algodão, aplicando uma força de compressão de (5 ± 1) N, com uma cadência de aproximadamente um ciclo por segundo (um ciclo compreende um movimento para a frente e para trás ao longo da extensão da marcação). Para marcações superiores a 20 mm, a fricção pode ser limitada a uma parte da marcação, por uma extensão de pelo menos 20 mm de comprimento.

A força de compressão é aplicada por meio de um pistão de ensaio que é envolvido com algodão composto por lã de algodão, revestido com um pedaço de gaze de algodão de uso médico. O pistão de ensaio deve ser fabricado em um material elástico, inerte aos líquidos de ensaio, e que tenha uma dureza Shore-A de 47 ± 5 (por exemplo, borracha sintética). Quando não for possível realizar o ensaio nas amostras devido ao formato/dimensões do produto, um pedaço adequado com as mesmas características do produto pode ser submetido ao ensaio.

O ensaio deve ser realizado em uma amostra. Se a amostra não atender o ensaio, o ensaio deve ser repetido em duas novas amostras, que devem todas as duas atender os requisitos. Após o ensaio, a marcação deve estar legível. A marcação pode ser realizada, por exemplo, por moldagem, estampagem, gravação, impressão, etiquetas adesivas ou transferência de imagem por água (hidrografia).

O fabricante deve fornecer, em sua documentação, todas as informações necessárias para a instalação e utilização correta e segura. Elas devem compreender os componentes do sistema; a função dos componentes do sistema e os seus conjuntos; a classificação do sistema de acordo com a Seção 6; a impedância linear, em Ω/m, do comprimento da canaleta ou do comprimento de eletroduto não circular do sistema, declarado de acordo com 6.5.1; a tensão nominal do SC/SENC, declarada de acordo com 6.6.2; a área útil do SC/SENC utilizável para os cabos, em mm². Certos componentes do sistema, quando são montados, podem reduzir a área útil utilizável para os cabos.

Deve-se incluir as instruções necessárias para obter a classificação e as funções declaradas do sistema. Estas instruções devem incluir o posicionamento recomendado de instalação para os SC/SENC, para assegurar que a classificação IP declarada seja mantida após a instalação. A conformidade é verificada por inspeção.

Os processos de avaliação do impacto da privacidade

Deve-se conhecer as diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA).

A NBR ISO/IEC 29134 de 11/2020 – Tecnologia da informação – Técnicas de segurança – Avaliação de impacto de privacidade – Diretrizes fornece diretrizes para os processos de avaliação de impacto de privacidade, e estrutura e conteúdo de relatório de Privacy Impact Assessment (PIA). É aplicável a todos os tipos e tamanhos de organizações, incluindo companhias públicas, companhias privadas, entidades governamentais e organizações sem fins lucrativos. Este documento é pertinente para os envolvidos em conceber ou implementar projetos, incluindo as partes que operam sistemas de tratamento de dados e serviços que tratam dos dados pessoais (DP).

Confira algumas perguntas relacionadas a essa norma GRATUITAMENTE no Target Genius Respostas Diretas:

Como preparar um plano da PIA e determinar os recursos necessários para a sua realização?

Como engajar as partes interessadas no processo?

Como estabelecer um plano de consulta?

Como identificar os fluxos de informações de dados pessoais (DP)?

Como analisar as implicações do caso de uso?

A análise de impacto de privacidade (PIA) é um processo geral de identificação, análise, avaliação, consultoria, comunicação e planejamento do tratamento de potenciais impactos à privacidade com relação ao tratamento de DP, contidos em uma estrutura mais ampla de gestão de riscos da organização. Uma avaliação de impacto de privacidade (PIA) é um instrumento para avaliar os potenciais impactos na privacidade de um processo, sistema de informação, programa, módulo de software, dispositivo ou outra iniciativa que trate dados pessoais (DP) e, em consulta às partes interessadas, para tomar ações necessárias para tratar risco à privacidade.

Um relatório de PIA pode incluir documentação sobre medidas tomadas para tratamento de risco, por exemplo, medidas resultantes do uso do sistema de gestão de segurança da informação (SGSI) na NBR ISO/IEC 27001. Uma PIA é mais que uma ferramenta: é um processo que começa nos estágios mais iniciais de uma iniciativa, quando ainda há oportunidades para influenciar seu resultado e, consequentemente, garantir privacy by design. É um processo que continua até, e mesmo após, o projeto ser entregue.

As iniciativas variam substancialmente em escala e impacto. Os objetivos que se enquadrem no título privacidade dependem de cultura, expectativas sociais e jurisdição. Este documento é destinado a fornecer orientação escalável que possa ser aplicada a todas as iniciativas. Como não é possível prescrever uma orientação específica para todas as circunstâncias, convém que a orientação neste documento seja interpretada com observância à circunstância individual.

Um controlador de DP pode ter a responsabilidade em conduzir uma PIA e pode demandar um operador de DP para dar assistência nisto, agindo em nome do controlador de DP. Um operador de DP ou um fornecedor também pode desejar conduzir sua própria PIA. Uma informação de PIA de um fornecedor é especialmente pertinente quando dispositivos conectados digitalmente são parte do sistema de informação, aplicação ou processo que esteja sendo avaliado.

Pode ser necessário que fornecedores destes dispositivos forneçam informações de projeto pertinentes à privacidade para aqueles que estejam empreendendo a PIA. Quando o fornecedor de dispositivos digitais não possui conhecimento e não está preparado para a PIA, por exemplo: um pequeno comércio, ou uma pequena ou média empresa (PME), usando dispositivos conectados digitalmente no curso de suas operações de negócio habituais, então, a fim de possibilitá-lo empreender uma atividade mínima da PIA, o fornecedor do dispositivo pode ser chamado para fornecer uma grande quantidade de informações de privacidade e empreender sua própria PIA em observância ao contexto esperado do titular de DP/PME para o equipamento que fornece.

Uma PIA é tipicamente conduzida por uma organização que assume sua responsabilidade seriamente e trata titulares de DP adequadamente. Em algumas jurisdições, uma PIA pode ser necessária em atendimento a requisitos legais e regulamentares. Este documento é destinado para ser utilizado quando o impacto de privacidade de titulares de DP inclui consideração de processos, sistemas de informação ou programas, onde a responsabilidade pela implementação e/ou entrega do processo, sistema de informação ou programa seja compartilhada com outras organizações e convém que seja assegurado que cada organização trate apropriadamente os riscos identificados.

Também, pode incluir uma organização esteja realizando gestão de riscos de privacidade como parte de seu esforço de gestão geral de riscos enquanto se prepara para a implementação ou melhoria de seu SGSI (estabelecido de acordo com a NBR ISO/IEC 27001 ou sistema de gestão equivalente); ou uma organização esteja realizando gestão de riscos de privacidade como uma função independente; uma organização (por exemplo, governamental) empreenda uma iniciativa (por exemplo, um programa de parceria público-privada) na qual a futura organização controladora de DP não seja conhecida ainda, com o resultado de que o plano de tratamento não possa ser implementado diretamente e, portanto, convém que este plano de tratamento seja parte da correspondente legislação, regulamentação ou do contrato como alternativa; ou a organização que queira atuar responsavelmente em relação aos titulares de DP.

Os controles considerados necessários para o tratamento de riscos identificados durante o processo de análise de impacto de privacidade podem ser derivados de múltiplos conjuntos de controles, incluindo a  NBR ISO/IEC 27002 (para controles de segurança) e a NBR ISO/IEC 29151 (para controles protetivos aos dados pessoais) ou normas nacionais comparáveis, ou eles podem ser definidos pela pessoa responsável pela condução da PIA independentemente de qualquer outro conjunto de controles. Este documento fornece orientação que pode ser adaptada a uma ampla extensão de situações nas quais DP são tratados.

Entretanto, em geral, uma PIA pode ser realizada para o propósito de identificar impactos de privacidade, riscos de privacidade e responsabilidades; fornecer entradas para a concepção de proteção da privacidade (às vezes chamada privacy by design); analisar criticamente os riscos de privacidade de um novo sistema de informações e avaliar seu impacto e probabilidade; fornecer a base para a provisão de informações de privacidade aos titulares de DP em qualquer ação recomendada de mitigação de titulares de DP; manter atualizações ou upgrades posteriores com funcionalidade adicional suscetível a impactar os DP que sejam manipulados; compartilhar e mitigar riscos de privacidade com partes interessadas, ou fornecer evidências relacionadas a compliance.

Uma PIA é ocasionalmente referida por outros termos, por exemplo, análise crítica de privacidade ou uma análise de impacto à proteção de dados. Estas instâncias particulares de uma PIA podem vir com implicações específicas para tratamento e relatório. Uma PIA frequentemente tem sido descrita como um sistema de alerta antecipado.

Ela fornece uma maneira para detectar potenciais riscos de privacidade resultando do tratamento de DP e, a partir disso, informar uma organização onde convém que ela adote precauções e construa salvaguardas construídas antes, não após, a organização realizar pesados investimentos. Os custos de alteração de um projeto no estágio de planejamento habitualmente são uma fração daqueles incorridos posteriormente. Se o impacto de privacidade é inaceitável, o projeto pode até mesmo ter que ser completamente cancelado.

Por conseguinte, uma PIA ajuda a identificar questões de privacidade antecipadamente e/ou reduzir custos de tempo de gestão, despesas legais e potenciais preocupações de mídia ou públicas ao considerar questões de privacidade antecipadamente. Pode também ajudar uma organização a evitar embaraçosos e caros equívocos em privacidade. Embora convenha que uma PIA seja mais que simplesmente uma verificação de compliance, ela, entretanto, contribui para uma demonstração da organização quanto ao seu compliance com requisitos pertinentes de privacidade e proteção de dados na eventualidade de uma reclamação subsequente, auditoria de privacidade ou investigação de compliance.

Na eventualidade da ocorrência de um risco à privacidade ou incidente, um relatório de PIA pode fornecer evidência de que a organização atuou apropriadamente na tentativa de prevenir a ocorrência. Isto pode ajudar a reduzir ou mesmo eliminar qualquer responsabilidade legal, publicidade negativa e perda de reputação. Uma PIA apropriada também demonstra aos clientes da organização e/ou cidadãos que ela respeita sua privacidade e é responsiva às suas preocupações. Clientes ou cidadãos são mais suscetíveis a confiar em uma organização que realiza uma PIA que em uma que não a realiza.

Uma PIA melhora o processo de decisão informada e expõe falhas de comunicação interna ou assunções ocultas em questões de privacidade sobre o projeto. Uma PIA é uma ferramenta para empreender uma análise sistemática de questões de privacidade originadas a partir de um projeto de modo a informar tomadores de decisão. Uma PIA pode ser uma fonte confiável de informações. Uma PIA possibilita uma organização a aprender sobre as armadilhas de privacidade de um processo, sistema de informações ou programa, em vez de ter auditores ou concorrentes os apontando.

Uma PIA ajuda a antecipar e responder às preocupações de privacidade do público. Uma PIA pode ajudar uma organização a ganhar a confiança de seu público e a certeza de que a privacidade foi construída dentro da concepção de um processo, sistema de informação ou programa. Confiança é construída sobre transparência, e uma PIA é um processo disciplinado que promove comunicações abertas, entendimento comum e transparência.

Uma organização que empreende uma PIA demonstra aos seus empregados e contratados que ela considera seriamente a privacidade e espera que façam o mesmo. Uma PIA é uma maneira de educar empregados sobre privacidade e torna-los alertas aos problemas de privacidade que possam produzir danos à organização. É uma maneira de afirmar os valores da organização.

Uma PIA pode ser utilizada como uma indicação da due diligence e pode reduzir o número de auditorias de clientes. O objetivo do relatório da PIA é comunicar os resultados da avaliação às partes interessadas. As expectativas sobre uma PIA existem de várias partes interessadas. A seguir, alguns exemplos típicos de partes interessadas e suas expectativas.

— Titular de DP – A PIA é um instrumento que possibilita que titulares de DP tenham segurança de que sua privacidade está sendo protegida.

— Gestão – Vários pontos de vista se aplicam como uma PIA como pode usada como um instrumento para gerenciar riscos de privacidade, conscientizar e estabelecer responsabilização; visibilidade do tratamento de DP dentro da organização e possíveis riscos e seus impactos; insumos para negócios ou estratégia de produtos.

— Construir a PIA nos estágios iniciais do projeto assegura que os requisitos de privacidade sejam incluídos nos requisitos funcionais e não funcionais, sejam atingíveis, viáveis e rastreáveis pela gestão de riscos e de mudanças, e pode resultar em um projeto não acontecer ou ser cancelado. Convém que o esforço em classificar e gerenciar DP de projetos seja capitalizado como uma linha de investimento separada e em montante em um projeto ou programa orçamentário, aceitável para todas as partes interessadas.

— A PIA como uma oportunidade para entender melhor os requisitos de privacidade e avaliar as atividades em relação a esses requisitos; entradas para design e entrega de produtos ou serviços; analisados criticamente e alterados ao longo do processo de gestão de mudanças após a entrega.

— A PIA como um instrumento para entender os riscos de privacidade no nível da função/projeto/unidade; consolidação de riscos; contribuição para o desenho de políticas de privacidade e mecanismos de aplicação; entradas para reengenharia de processos de privacidade.

— Regulador – A PIA é um instrumento que contribui com evidências que apoiam a conformidade com os requisitos legais aplicáveis. Pode fornecer evidências da due diligence adotada pela organização em caso de violação, não conformidade, reclamação, etc.

— Cliente – A PIA é um meio de avaliar como o operador de DP ou controlador de DP está lidando com os DP e fornece evidências de que ele cumpre as obrigações contratuais. Convém que o relatório de PIA cumpra duas atribuições básicas. A primeira (inventário) mantém as partes interessadas específicas informadas sobre as entidades afetadas identificadas, o ambiente afetado e os riscos de privacidade sobre o ciclo de vida das entidades afetadas, sejam eles inerentes ou mitigadas.

A segunda (itens de ação) é um mecanismo de rastreamento das ações/tarefas que melhoram e/ou resolvem os riscos de privacidade identificados. A sensibilidade na distribuição e liberação das informações do relatório precisa ser claramente avaliada e classificada (privada, confidencial, pública, etc.). Convém que uma PIA seja realizada por processos ou sistemas de informação por uma de várias entidades diferentes da organização, mas também pode ser realizada em um processo, sistema de informação ou programa por organizações de consumidores ou organizações não governamentais.

Normalmente, convém que a responsabilidade de assegurar que uma PIA seja realizada, em primeiro lugar, recaia sobre a pessoa encarregada da proteção de DP, caso contrário, o gerente de projeto desenvolverá a nova tecnologia, serviço ou outra iniciativa que possa impactar a privacidade. Convém que a responsabilização de assegurar que a PIA seja realizada e a qualidade do resultado (responsabilidade da PIA) caiba à Alta Direção do controlador de DP.

A pessoa a quem foi atribuída a responsabilidade de conduzir a PIA pode conduzi-la por conta própria, pode contar com a ajuda de outras partes interessadas internas e/ou externas ou pode contratar um terceiro independente para fazer o trabalho. Existem vantagens e desvantagens em cada abordagem. No entanto, quando a PIA é realizada diretamente pela organização, associações de usuários finais ou agências governamentais podem solicitar que a adequação da PIA seja verificada por um auditor independente.

Convém que a organização assegure que haja responsabilização e autoridade para gerenciar riscos de privacidade, incluindo a implementação e manutenção do processo de gestão de riscos de privacidade e para assegurar a adequação e eficácia de quaisquer controles. Isso pode ser facilitado por especificar quem é o responsável pelo desenvolvimento, implementação e manutenção da estrutura para gerenciar riscos de privacidade, e especificar os proprietários de riscos para implementar o tratamento de riscos de privacidade, manter controles de privacidade e relatar informações pertinentes sobre riscos de privacidade.

A escala do PIA depende da importância dos impactos assumidos. Por exemplo, se for presumido que os impactos afetam apenas os funcionários da organização (por exemplo, a organização pode querer melhorar seu controle de acesso por meio de uma biometria, como uma impressão digital de cada funcionário), a PIA poderia envolver apenas representantes dos funcionários e ser de escala relativamente pequena. No entanto, se um departamento do governo desejar introduzir um novo sistema de gestão de identidade para todos os cidadãos, precisará realizar uma PIA muito maior, envolvendo uma ampla gama de partes interessadas externas.

Convém que as organizações forneçam autoavaliação na escala exigida da PIA, em conformidade com as leis e regulamentos. A quantidade e granularidade dos DP por pessoa, o grau de sensibilidade dos DP, o número de titulares de DP e o número de pessoas que têm acesso aos DP que serão tratados são os fatores críticos na determinação dessa escala.

No caso de PME, organizações sem fins lucrativos ou governamentais, a determinação da escala apropriada da PIA pode ser realizada de maneira conjunta, mas não vinculativa, pela pessoa que realiza uma PIA, a Alta Direção da PME e/ou aconselhamento de especialistas externos, conforme apropriado. O escopo de uma PIA, os detalhes específicos do que ela abrange e como é conduzida precisam ser adaptados ao tamanho da organização, à jurisdição local e ao programa, sistema de informações ou processo específico que é objeto da PIA.

Na Seção 6, o “Objetivo” é algo que convém que seja alcançado, a “Entrada” fornece orientações sobre quais informações podem ser necessárias para alcançar o “Objetivo”, a “Saída esperada” é a meta recomendada para as “Ações”, “Ações”, ou seus equivalentes, são orientações sobre atividades que talvez precisem ser realizadas para alcançar o “Objetivo” e criar a “Saída esperada” recomendada, e as “Diretrizes de implementação” fornece mais detalhes sobre assuntos que podem ser considerados na execução das “Ações”.

As “Ações” nesta seção, ou equivalentes, adaptadas ao escopo e escala desejados de uma PIA podem ser implementadas de forma independente por uma organização. Eles pretendem formar uma base razoável para planejar, implementar e acompanhar a PIA em uma ampla gama de circunstâncias. A organização que conduz um processo de PIA pode desejar adaptar diretamente a orientação do processo a seguir à sua escala e escopo específicos da PIA ou como uma alternativa possível para selecionar um sistema de gestão baseado em risco adequado, como na NBR ISO/IEC 27001, e integrar a ele elementos das orientações abaixo adequadamente adaptados, incluindo o uso do relatório da PIA (ver Seção 7) para tratar os riscos de privacidade identificados.

Neste documento, o termo “realização de uma PIA” é usado para cobrir uma PIA inicial, na qual as etapas e ações necessárias são selecionadas para corresponder ao requisito específico da PIA e uma atualização para uma PIA existente, onde apenas as etapas e ações necessárias para a atualização são realizados. O Anexo C fornece mais orientações sobre o entendimento dos termos usados neste documento. Para apoiar as PME no processo da PIA, convém que as associações ou os órgãos da indústria sejam incentivados a elaborar códigos de conduta que forneçam diretrizes valiosas, e convém que as PME sejam incentivadas a participar dessas atividades.

Os códigos de conduta razoáveis teriam que respeitar os valores estabelecidos neste documento e poderiam ser endossados pelas autoridades de proteção de dados. Para a determinação da necessidade de uma PIA (análise de pertinência), deve-se usar como entrada as informações sobre o programa, sistema de informações ou processo em avaliação. A saída esperada: resultado da análise de limite e mandato para preparar uma PIA nova ou atualizada se necessária, termos de referência e escopo da PIA decididas.

Para as ações, convém que a direção da organização decida se é necessária uma PIA nova ou atualizada. Se for necessária uma PIA nova ou atualizada, convém que a direção da organização, em conjunto com o avaliador, estabeleça os termos de referência e determine os limites e a aplicabilidade da PIA para estabelecer seu escopo. Convém que a organização também decida e documente a escala da PIA, o processo a ser usado para executá-la e o público-alvo, e então a natureza e o conteúdo dos relatórios da PIA a serem produzidos.

Convém que a saída deste processo em termos do resultado da análise de limiar e o escopo e os termos de referência da PIA sejam documentados no relatório da PIA. Convém que a organização realize uma PIA nova ou atualizada se perceber impactos na privacidade de: uma tecnologia, serviço ou outra iniciativa nova ou prospectiva, em que os DP sejam ou devam ser tratados, uma decisão de que DP sensíveis (ver NBR ISO/IEC 29100:2020, 2.26) serão tratados, alterações nas leis e regulamentos aplicáveis à privacidade, política e normas internas, operação do sistema de informações, propósitos e meios para processar dados, fluxos de dados novos ou alterados, etc., e uma expansão ou aquisição de negócios.

Uma organização pode desejar estabelecer uma política que estabeleça limites para acionar uma PIA nova ou atualizada e as medidas técnicas e organizacionais iniciais a serem aplicadas. Convém que essa política considere quaisquer problemas aplicáveis dentre os listados acima, estabelecendo limites dentro dos quais o tratamento de DP pode ser desenvolvido e operado sem acionar uma nova PIA. Convém que uma pessoa responsável pela realização de uma PIA (o avaliador) seja identificada e nomeada pela organização.

Convém que a organização também nomeie a pessoa responsável por assinar o relatório da PIA. Convém que o avaliador estabeleça os critérios de risco e assegure que a Alta Direção concorda com os critérios de risco a serem usados para avaliar a significância do risco. Esses critérios podem basear-se nos mostrados no Anexo A ou podem ser estabelecidos separadamente pela organização, juntamente com os critérios sobre como estimar o nível de impacto e o risco com suas respectivas escalas. Convém que o avaliador também identifique os critérios para aceitação de riscos e assegure que a Alta Direção concorda com esses critérios.

Convém que a saída desse processo em termos dos critérios de risco seja documentada no relatório da PIA e recursos. Convém que os critérios reflitam os valores, objetivos e recursos da organização. Ao estabelecer os critérios de risco, convém que o avaliador considere os seguintes fatores: os fatores legais e regulamentares que afetam a salvaguarda da privacidade da pessoa natural e a proteção de seus DP; os fatores externos, como diretrizes da indústria, padrões profissionais, políticas da empresa e acordos com clientes; os fatores predeterminados por uma aplicação específica ou em um contexto de caso de uso específico; e outros fatores que possam afetar o design de sistemas de informação e os requisitos de proteção de privacidade associados.

Convém que a direção da organização examine separadamente os riscos de privacidade do ponto de vista de um diretor de DP e os riscos de privacidade do ponto de vista da organização. Convém que esses critérios sejam usados posteriormente para avaliação e tratamento de riscos de privacidade. Convém que a pessoa responsável pela condução de um PIA proponha os termos de referência e o escopo do PIA.

Convém que a pessoa responsável pela realização de uma PIA consulte outras pessoas da organização e talvez externas à organização para descrever os fluxos de DP e, especificamente: como os DP são coletadas e a fonte relacionada; quem é responsável dentro da organização pelo tratamento de DP; com que finalidade os DP serão tratados; como os DP serão tratados; política de retenção e descarte de DP; como os DP serão gerenciados e modificados; como os operadores de DP e desenvolvedores de aplicativos protegem os DP; identifique quaisquer DP transferidos para jurisdições onde se aplicam níveis mais baixos de proteção; se aplicável, notifique as autoridades pertinentes sobre qualquer novo tratamento de DP e solicite as aprovações necessárias. (ver figura abaixo)

O uso de DP (ou transferência de DP) pode incluir fluxos aprovados de compartilhamento de DP para outras partes. A figura acima mostra um exemplo de como o fluxo de informações de DP pode ser visualizado em um diagrama de fluxo de trabalho no tratamento de DP. Convém que organização, como uma entrada da PIA, descreva o fluxo de informações da maneira mais detalhada possível para ajudar a identificar os possíveis riscos de privacidade.

Convém que o avaliador considere os impactos não apenas na privacidade das informações, mas também na conformidade com os regulamentos relacionados à privacidade, por exemplo, atos de telecomunicações. Convém que todo o ciclo de vida dos DP seja considerado.

ISO/IEC TS 29140: a aprendizagem em tecnologias móveis

Essa especificação técnica, editada em 2020 pela ISO e IEC, fornece um modelo de informações ao aluno para a aprendizagem móvel e permitir que os ambientes de aprendizagem, educação e treinamento reflitam as necessidades específicas dos participantes móveis. Inclui as definições de tecnologia móvel e aprendizagem móvel apropriadas para todos os setores de aprendizagem, educação e treinamento.

A ISO/IEC TS 29140:2020 – Information technology for learning, education and training – Nomadicity and mobile technologies fornece um modelo de informações ao aluno para a aprendizagem móvel e permitir que os ambientes de aprendizagem, educação e treinamento reflitam as necessidades específicas dos participantes móveis. Este documento fornece as definições de tecnologia móvel e aprendizagem móvel apropriadas para todos os setores de aprendizagem, educação e treinamento; uma descrição do modelo de informação do aluno para aprendizagem móvel; informações específicas do aluno que apoiam os alunos envolvidos em atividades de aprendizagem móvel em ambientes de aprendizagem, educação e treinamento.

Inclui, ainda, uma descrição do modelo de interação do aluno com os sistemas móveis; as considerações das interações do aluno específicas para alunos nômades que se movem de um lugar para outro; e a orientação inicial sobre a questão da privacidade. Não inclui uma revisão técnica aprofundada de questões relacionadas à adaptabilidade à cultura, idioma e necessidades individuais; questões amplas ou aprofundadas de interoperabilidade técnica dos domínios da computação móvel; as considerações de segurança, autenticação ou acessibilidade; os detalhes sobre a privacidade; e as informações detalhadas sobre o trabalho complementar dentro de outras organizações que possam ser relevantes.

Conteúdo da norma

Prefácio……………………….. iv

Introdução……………….. v

1 Escopo …………………..1

2 Referências normativas……….. 1

3 Termos e definições…………… 1

4 Termos abreviados…………….. 3

5 Exemplos de aplicativos de aprendizagem móvel…………… 3

5.1 Exemplos neste documento……………..3

5.2 Outros exemplos de tecnologia móvel para aprendizagem …… 4

6 Informações do aluno para aprendizagem móvel……………….6

6.1 Geral…… 6

6.2 Modelo de informação do aluno para aprendizagem móvel……..6

6.3 Informações mínimas recomendadas para o aluno…………. 8

6.4 Informações opcionais do aluno…………….. 8

6.5 Dimensões para uma experiência ideal do aluno……………9

6.5.1 Geral……………………………. 9

6.5.2 Dimensão do aluno………….. 10

6.5.3 Dimensão de conteúdo para necessidades individuais do aluno………….10

6.5.4 Dimensão da capacidade do dispositivo para maximizar o uso do dispositivo móvel ………………….. 11

6.5.5 Dimensão da conectividade para executar em diferentes velocidades de conexão…………………. 12

6.5.6 Coordenação………………………. 13

7 Interação do aluno com o sistema de aprendizagem móvel……. 13

8 Considerações adicionais………………… 17

Anexo A (informativo) Caso de uso 1: Uso online de dispositivos móveis para aprendizagem pelos alunos…………….18

Anexo B (informativo) Caso de uso 2: Fala fluente em inglês/leitura fluente ………… ……………….. 21

Anexo C (informativo) Caso de uso 3: Livro digital para aprendizagem inovadora …………………… 24

Anexo D (informativo) Caso de uso 4: Tecnologia de aprendizagem móvel entre estudantes de medicina do último ano…………….. 28

Anexo E (informativo) Caso de uso 5: Sistema de treinamento de realidade aumentada ……………………… 31

Anexo F (informativo) Caso de uso 6: Aplicativo para prática de exame……………. 34

Anexo G (informativo) Caso de uso 7: Implementação de aplicativo para sucesso acadêmico ……………. ……….. 36

Anexo H (informativo) Caso de uso 8: Tutoria, jogos e aplicativos para aprendizagem de línguas ……………. 39

Anexo I (informativo) Caso de uso 9: Avaliação dos fatores-chave que afetam a integração de tecnologia emergente capacitada pelo aluno………………. 41

Bibliografia……….. 44

Este documento fornece orientação sobre o uso de um modelo de informação do aluno para tecnologia móvel na aprendizagem, educação e treinamento (aprendizagem móvel). Ele pode ser usado como referência por desenvolvedores de software, implementadores, designers instrucionais, professores, treinadores, sistemas automatizados e sistemas de gerenciamento de aprendizagem.

Desde que a ISO/IEC TS 29140-1:2011 e a ISO/IEC TS 29140-2:2011 foram publicadas, tem havido muitas inovações tecnológicas e aumento do uso de tecnologia móvel em aprendizagem, educação e treinamento, conforme indicado em muitas das revisões e meta -análise de estudos sobre aprendizagem móvel. O crescimento nas assinaturas ativas de banda larga móvel aumentou significativamente, com taxas de penetração aumentando mundialmente de 4, 0 assinaturas por 100 habitantes em 2007 a 69,3 em 2018. O número de assinaturas ativas de banda larga móvel aumentou de 268 milhões em 2007 para 5,3 bilhões em 2018.

Além disso, quase toda a população mundial, ou 96%, agora vive ao alcance de uma rede celular móvel. Além disso, 90% da população global pode acessar a internet por meio de uma rede 3G ou de velocidade superior. Isso coloca um senso de urgência para revisar os padrões para o uso de tecnologia móvel na aprendizagem, educação e treinamento.

Ao mesmo tempo, a tecnologia e a aplicação da tecnologia estão mudando rapidamente. Por exemplo, óculos 3D estão sendo usados para realidade virtual, realidade aumentada e realidade mista; e a entrada e saída de voz estão sendo usadas para treinamento de idiomas. Em 2017, uma análise de 233 artigos arbitrados de 2011 a 2015 de periódicos revisados por pares foi realizada com base nos temas de pesquisa, métodos, configurações e tecnologias na pesquisa.

Os resultados foram comparados com três estudos de pesquisa anteriores baseados em revisão da literatura, realizados entre 2001 e 2010, para identificar semelhanças e diferenças. Os resultados foram que: a aprendizagem móvel no ensino superior é um campo em crescimento, conforme evidenciado pela crescente variedade de tópicos de pesquisa, métodos e pesquisadores; o tópico de pesquisa mais comum continua a ser sobre como habilitar aplicativos e sistemas de m-learning; e os telefones celulares continuam a ser os dispositivos mais amplamente usados em estudos de aprendizagem móvel. Mas, mais e mais estudos funcionam em dispositivos diferentes, em vez de se concentrar em dispositivos específicos.

À medida que escolas, governos, organizações e empresas em todo o mundo projetam informações para serem acessadas por dispositivos móveis, há uma necessidade crescente de definir padrões de como as informações devem ser projetadas para entrega em tecnologias móveis para apoiar a aprendizagem, a educação e o treinamento. Essa necessidade crescente é necessária devido à demanda por materiais de aprendizagem e treinamento que podem ser facilmente compartilhados entre organizações e alunos e disponibilizados para aqueles em qualquer localização geográfica.

A aprendizagem móvel tem o potencial de fornecer aos alunos acesso aprimorado a informações e materiais de aprendizagem, além de orientação e suporte de qualquer lugar, em vez de uma localização geográfica específica em um determinado momento. Quando a aprendizagem móvel é implementada de forma bem pensada, tem potencial para aumentar a eficiência e a produtividade da aprendizagem, educação e treinamento em diferentes setores (por exemplo, público, privado, voluntário).

Uma metaanálise e síntese de pesquisa dos efeitos dos dispositivos móveis integrados no ensino e aprendizagem analisou 110 artigos experimentais e quase-experimentais revisados por pares publicados de 1993 a 2013. Os resultados revelaram que o efeito geral do uso de dispositivos móveis na educação é melhor do que usando computadores desktop ou não usando dispositivos móveis como uma intervenção, com um tamanho de efeito moderado de 0,523. Uma análise de 144 artigos de periódicos arbitrados dos seis principais periódicos de aprendizagem baseada em tecnologia educacional listados no banco de dados do Social Science Citation Index descobriu que a maioria dos estudos de aprendizagem móvel relataram resultados positivos e o smartphone é o dispositivo mais amplamente usado para aprendizagem móvel.

A aprendizagem móvel tem o potencial de fornecer aos alunos novas oportunidades de se conectar com outros alunos, interagir com professores e instrutores e cocriar ambientes de aprendizagem colaborativos. Este é um problema crítico para alunos que vivem em locais remotos sem conexões com fio. Os alunos que vivem nesses locais remotos podem usar tecnologias móveis com recursos sem fio para se conectar com outras pessoas em locais diferentes.

Como resultado, os alunos remotos podem se sentir menos isolados, o que pode resultar em mais alunos concluindo suas atividades de aprendizagem, educação ou treinamento usando tecnologias móveis. Uma análise de 90 artigos que estudaram as qualidades da aprendizagem móvel relatou que as propriedades educacionais da aprendizagem colaborativa móvel incluem: apoiar a aprendizagem ubíqua, permitir mais interação social interpessoal, facilitar a aprendizagem baseada no contexto, cultivar a aprendizagem autorregulada e a autorreflexão, e fomentar a interação intercultural.

A conclusão foi que, em comparação com a aprendizagem baseada na internet, a aprendizagem colaborativa baseada em dispositivos móveis é mais capaz de servir como ferramentas cognitivas, metacognitivas e epistemológicas para a compreensão e transformação de conceitos dos alunos. Há várias equipes de pesquisa em organizações e comunidades que trabalham com aprendizagem móvel. Muitos estudos e projetos de pesquisa foram concluídos sobre o uso de tecnologia móvel na educação e treinamento.

Além disso, já há trabalho em andamento em vários países ao redor do mundo em tópicos relacionados, como aprendizagem em diferentes contextos, aprendizagem em trânsito e o uso de computadores de mão na aprendizagem. Isso é evidente pelos nove casos de uso incluídos nos Anexos A a I. Além disso, há trabalho em andamento em algumas dessas questões no W3C e no ITU-T.

À medida que este trabalho avança, é essencial preparar as bases para assegurar que a concepção, desenvolvimento, implementação e avaliação da aprendizagem móvel em ambientes de aprendizagem, educação e formação decorram de uma forma contínua, flexível e integrada. Em suma, a tecnologia móvel precisa ser perfeitamente integrada às atividades de ensino e aprendizagem que são suportadas pela tecnologia da informação e comunicação (TIC) em geral. Uma revisão de modelos e estruturas para projetar experiências de aprendizagem móvel descreveu diferentes estratégias de aprendizagem para o uso de tecnologias móveis na aprendizagem.

Isso inclui a aprendizagem baseada no contexto, em que os alunos podem aprender em seu próprio contexto usando conexão sem fio, sistemas de posicionamento global, conexão por satélite e aplicativos móveis; a aprendizagem contínua e onipresente em movimento e de qualquer lugar devido à portabilidade das tecnologias móveis – a estratégia de aprendizagem é importante para os alunos nômades que se deslocam de um local para o outro; aprendizagem baseada em jogos, em que os alunos são apresentados a diferentes cenários e desafios durante o processo de aprendizagem; aprendizagem colaborativa suportada por computador móvel, em que os alunos usam tecnologias móveis para interagir para completar as atividades de aprendizagem em grupos.

No passado, o uso de tecnologias móveis, devido ao seu pequeno tamanho e portabilidade, era benéfico para os nômades. No entanto, as tecnologias móveis atuais são mais poderosas e estão sendo usadas em diferentes locais e contextos de aprendizagem. Por exemplo, as tecnologias móveis podem ser usadas em uma sala de aula para ensinar crianças em idade escolar sobre os padrões de transmissão de doenças; na educação médica para apoiar os alunos no aprendizado da prática clínica à beira do leito; em uma indústria para treinar funcionários como manter uma peça de equipamento; em um museu para dar aos alunos uma apresentação virtual de um evento histórico; em uma faculdade para dar aos alunos um tour virtual de um sítio arqueológico e assim por diante.

O uso potencial da tecnologia móvel é ilimitado, seu uso dependerá da criatividade do designer instrucional, professor ou treinador. Uma análise de 113 estudos de pesquisa sobre aprendizagem móvel em níveis de pré-jardim de infância à 12ª série descobriu que 62% dos estudos relataram resultados positivos, o que significa que a maioria dos estudos descobriu que o uso de dispositivos móveis em uma atividade de aprendizagem resultou em maior aprendizagem dos alunos. Também relatou que a maioria dos estudos (50%) ocorreu em contextos educacionais formais, enquanto um ambiente composto por ambientes formais e informais representou 27% dos contextos educacionais, e os restantes 23% dos estudos ocorreram em contextos de definições informais.

ISO/IEC 19989-2: o desempenho do reconhecimento biométrico

Essa norma internacional, editada pela ISO/IEC em 2020, é usada para a avaliação de segurança de sistemas de verificação biométrica e sistemas de identificação biométrica, este documento é dedicado à avaliação de segurança de desempenho de reconhecimento biométrico aplicando a série ISO/IEC 15408. Fornece os requisitos e as recomendações para o desenvolvedor e o avaliador para as atividades suplementares sobre desempenho de reconhecimento biométrico especificado na ISO/IEC 19989-1.

A ISO/IEC 19989-2:2020 – Information security – Criteria and methodology for security evaluation of biometric systems – Part 2: Biometric recognition é usada para a avaliação de segurança de sistemas de verificação biométrica e sistemas de identificação biométrica, este documento é dedicado à avaliação de segurança de desempenho de reconhecimento biométrico aplicando a série ISO/IEC 15408. Fornece os requisitos e as recomendações para o desenvolvedor e o avaliador para as atividades suplementares sobre desempenho de reconhecimento biométrico especificado na ISO/IEC 19989-1. A avaliação das técnicas de detecção de ataque de apresentação está fora do escopo deste documento, exceto para a apresentação de tentativas de impostor de acordo com a política de uso pretendido, seguindo a documentação de orientação do target of evaluation (TOE).

Conteúdo da norma

Prefácio………………………….. iv

Introdução………………………. v

1 Escopo………………………. 1

2 Referências normativas………….. 1

3 Termos e definições………………. 2

4 Termos abreviados………………. 3

5 Atividades complementares à ISO/IEC 18045 em ensaios automated test equipment (ATE)………………..4

5.1 Geral……………………… …… 4

5.1.1 Orientação……………….. 4

5.1.2 Observações para avaliação de desempenho…….. 6

5.1.3 Identificação do tipo de avaliação de desempenho………… 6

5.1.4 Taxas de erro de reconhecimento biométrico………….7

5.2 Planejar a avaliação…………… 10

5.2.1 Visão geral…………………… 10

5.2.2 Estimativa de tamanhos de ensaio……………… 11

5.2.3 Documentação de ensaio ………………….. …. 12

5.3 Coleta de dados……………………………… 12

5.3.1 Escolha de dados de ensaio ou aquisição de equipe de ensaio e dispositivo de captura …………… ………. 12

5.3.2 Executando o ensaio ……… ………….. 14

5.4 Análises……………………………………. 14

5.5 Revisando os ensaios de desenvolvedor……………. 14

5.6 Requisitos específicos para componentes de garantia em ATE_IND…………15

5.6.1 Visão geral…………………. 15

5.6.2 Requisitos específicos em ATE_IND.1……………. 15

5.6.3 Requisitos específicos em ATE_IND.2…………….. 15

5.7 Avaliação de ensaios de desenvolvedor repetindo um subconjunto de ensaio……………………. 16

5.8 Realização de ensaios independentes………..17

5.8.1 Visão geral…………………………………… 17

5.8.2 Identificação do tipo de avaliação de desempenho…… 18

6 Atividades suplementares para a ISO/IEC 18045 sobre avaliação de vulnerabilidade (vulnerability assessment – AVA………………………….18

6.1 Aspectos gerai…………………………… 18

6.2 TOE para ensaio………………………… 19

6.3 Vulnerabilidades potenciais…………. 20

6.4 Avaliação do potencial de ataque………………. 20

Anexo A (informativo) Exemplos de cálculo de potencial de ataque para atividades AVA ……………………… 21

Anexo B (informativo) Exemplos para atividades ATE…………….. 27

Anexo C (informativo) Exemplo de documento de ensaio de desempenho do desenvolvedor e sua estratégia de avaliação………………………. 29

Bibliografia………………….. 33

Os sistemas biométricos podem estar sujeitos a ataques de apresentação em que os invasores tentam subverter a política de segurança do sistema, apresentando suas características biométricas naturais ou artefatos contendo características copiadas ou falsificadas. Os ataques de apresentação podem ocorrer durante o registro ou eventos de identificação/verificação. As técnicas projetadas para detectar artefatos de apresentação geralmente são diferentes daquelas para conter ataques em que características naturais são usadas.

A defesa contra ataques de apresentação com características naturais normalmente depende da capacidade de um sistema biométrico de discriminar entre inscritos genuínos e atacantes com base nas diferenças entre suas características biométricas naturais. Essa capacidade é caracterizada pelo desempenho de reconhecimento biométrico do sistema – quão bem ou mal um sistema de reconhecimento biométrico executa suas funções necessárias.

O desempenho do reconhecimento biométrico e a detecção de ataques de apresentação influenciam a segurança dos sistemas biométricos. Portanto, a avaliação desses aspectos de desempenho do ponto de vista da segurança se tornará uma consideração importante para a aquisição de produtos e sistemas biométricos.

Produtos e sistemas biométricos compartilham muitas das propriedades de outros produtos e sistemas de TI que são passíveis de avaliação de segurança usando a série ISO/IEC 15408 e ISO/IEC 18045 na forma padrão. No entanto, os sistemas biométricos incorporam certas funcionalidades que precisam de critérios e metodologia de avaliação especializados que não são abordados pela série ISO/IEC 15408 e ISO/IEC 18045. Principalmente, eles se relacionam com a avaliação de reconhecimento biométrico e detecção de ataque de apresentação. Estas são as funções abordadas na ISO/IEC 19989 (todas as partes).

A ISO/IEC 19792 descreve esses aspectos específicos da biometria e especifica os princípios a serem considerados durante a avaliação de segurança dos sistemas biométricos. No entanto, não especifica os critérios e as metodologias concretos necessários para a avaliação de segurança com base na série ISO/IEC 15408. A série ISO/IEC 19989 fornece uma ponte entre os princípios de avaliação para produtos e sistemas biométricos definidos na ISO/IEC 19792 e os critérios e requisitos de metodologia para avaliação de segurança com base na série ISO/IEC 15408.

A série ISO/IEC 19989 complementa a série ISO/IEC 15408 e a ISO/IEC 18045 fornecendo requisitos funcionais de segurança estendidos junto com atividades de garantia relacionadas a esses requisitos. As extensões dos requisitos e atividades de garantia encontradas na série ISO/IEC 15408 e ISO/IEC 18045 referem-se à avaliação do reconhecimento biométrico e a detecção de ataques de apresentação que são particulares aos sistemas biométricos.

A ISO/IEC 19989-1 consiste na introdução da estrutura geral para a avaliação de segurança de sistemas biométricos, incluindo componentes funcionais de segurança estendidos e metodologia suplementar, que são atividades de avaliação adicionais para o avaliador. As recomendações detalhadas são desenvolvidas para os aspectos de desempenho de reconhecimento biométrico neste documento e para apresentação de aspectos de detecção de ataques na ISO/IEC 19989-3.

Este documento descreve os suplementos à metodologia de avaliação de desempenho de reconhecimento biométrico com segurança de produtos biométricos. Ele complementa a série ISO/IEC 15408, ISO/IEC 18045 e ISO/IEC 19989-1. Ele se baseia nas considerações gerais descritas na ISO/IEC 19792 e na metodologia de ensaio de desempenho biométrico descrita na ISO/IEC 19795-1, fornecendo orientação adicional a um avaliador. Neste documento, o termo sujeito dos dados é usado enquanto usuário é usado na ISO/IEC 19989-1, a fim de ser consistente com o vocabulário biométrico, visto que os especialistas em biometria são os principais leitores deste documento.

A Qualidade dos testes laboratoriais remotos

Deve-se entender os requisitos específicos aplicáveis ao teste laboratorial remoto e se destina a ser usado em conjunto com a NBR ISO 15189. Os requisitos deste documento se aplicam quando o POCT é realizado em um hospital, clínica e por uma organização de serviços de saúde que preste atendimento ambulatorial.

A NBR ISO 22870 de 09/2020 – Teste laboratorial remoto (POCT) — Requisitos para a qualidade e competência fornece os requisitos específicos aplicáveis ao teste laboratorial remoto e se destina a ser usado em conjunto com a NBR ISO 15189. Os requisitos deste documento se aplicam quando o POCT é realizado em um hospital, clínica e por uma organização de serviços de saúde que preste atendimento ambulatorial. Este documento pode ser aplicado a medições transcutâneas, análise de ar expirado e monitoramento in vivo de parâmetros fisiológicos. O autoteste do paciente em um ambiente doméstico ou comunitário é excluído, mas os elementos deste documento podem ser aplicáveis. Os regulamentos locais, regionais e nacionais são para ser leva dos em consideração.

Acesse algumas questões relacionadas a essas normas GRATUITAMENTE no Target Genius Respostas Diretas:

Como se deve proceder no caso da ação preventiva?

Como deve ser feita a análise crítica pela direção?

Como devem ser as acomodações e condições ambientais dos testes?

Quem é o responsável pela garantia da qualidade dos procedimentos de exame?

Os testes laboratoriais remotos (point-of-care testing – POCT), também chamado, de teste próximo ao paciente, são realizados próximo ou no local do paciente, com o resultado levando a uma possível mudança no seu atendimento. É também denominado no Brasil como teste laboratorial remoto (TLR) e teste no local do paciente (TLP). Os exames tradicionais dos fluidos corporais, secreções e tecidos de um paciente são realizados geralmente no ambiente controlado e regulado de um laboratório clínico reconhecido.

A introdução de sistemas de gestão da qualidade e a acreditação desses laboratórios estão ganhando crescente interesse. Os avanços na tecnologia resultaram em dispositivos médicos de diagnóstico in vitro (DIV) compactos e fáceis de usar, que possibilitam a realização de alguns exames na localização do paciente ou próximo a ela. O teste laboratorial remoto/próximo ao paciente pode beneficiar o paciente, bem como as instalações de serviços de saúde. Os riscos para o paciente e para as instalações podem ser gerenciados por um sistema de gestão da qualidade bem planejado e totalmente implementado, que facilite: a avaliação de instrumentos e sistemas POCT novos ou alternativos, a avaliação e aprovação de propostas e protocolos do usuário final, a compra, a instalação e a manutenção de equipamentos, a manutenção de suprimentos consumíveis e reagentes, o treinamento, certificação e recertificação de operadores de sistemas POCT, e o controle de qualidade e garantia de qualidade.

Os organismos que reconhecem a competência das instalações de POCT podem usar este documento como base para as suas atividades. Se uma instalação de saúde buscar acreditação para uma parte ou todas as suas atividades, convém selecionar um organismo de acreditação que opere de maneira a levar em consideração os requisitos especiais do POCT. A gestão dos serviços de laboratório deve planejar e desenvolver os processos necessários para o POCT.

O seguinte deve ser considerado, conforme apropriado: os objetivos e os requisitos da qualidade para POCT; a necessidade de estabelecer processos e documentos e fornecer recursos específicos ao POCT; a verificação, validação e monitoramento exigidos das atividades específicas do POCT; os registros para fornecer evidências de que os processos e procedimentos da POCT atendem aos requisitos. A direção da organização deve ser o principal responsável por garantir que sejam tomadas as medidas apropriadas para monitorar a exatidão e a qualidade do POCT realizado dentro da organização de serviço de saúde.

A NBR ISO 15189:2015, 4.1.2.2, e as seguintes subseções se aplicam. Um grupo de profissionais de saúde (por exemplo, Comitê Médico Consultivo) deve ser responsável perante a direção pela definição do escopo do POCT a ser disponibilizado. Isso deve levar em consideração a necessidade clínica de POCT, suas implicações financeiras, viabilidade técnica e a capacidade da organização de atender à necessidade. A direção ou o responsável designado do laboratório deve nomear um grupo multidisciplinar de gestão do POCT com representação do laboratório, administração e programas clínicos, incluindo enfermagem, para aconselhar sobre o fornecimento do POCT.

O grupo de gestão deve garantir que responsabilidades e autoridades sejam definidas e comunicadas dentro da organização. O grupo de gestão deve auxiliar na avaliação e seleção de dispositivos e sistemas POCT. Convém que os critérios de desempenho para dispositivos POCT incluam consideração de veracidade, precisão, limites de detecção, limites de uso e interferências. Convém que a praticidade também seja considerada. O grupo de gestão deve considerar todas as propostas para introduzir qualquer produto, dispositivo ou sistema para o POCT.

A gestão dos serviços de laboratório deve estabelecer, documentar, implementar e manter um sistema de gestão da qualidade e melhorar continuamente a sua eficácia. A gestão dos serviços de laboratório deve identificar os processos necessários para o sistema de gestão da qualidade do POCT em toda a organização; determinar a sequência e a interação desses processos; determinar os critérios e métodos necessários para garantir que a operação e o controle desses processos sejam eficazes; garantir a disponibilidade de recursos e informações necessárias para apoiar a operação e o monitoramento desses processos; monitorar, medir e analisar esses processos; implementar as ações necessárias para alcançar os resultados planejados e a melhoria contínua desses processos; e nomear uma pessoa com treinamento e experiência adequados como gerente da qualidade, responsável pela qualidade do POCT, o que inclui a análise crítica dos requisitos relacionados ao POCT. Esses processos devem ser gerenciados pela organização de acordo com os requisitos deste documento.

Convém que os processos necessários para o sistema de gestão da qualidade mencionado incluam processos para atividades de gestão, provisão de recursos, provisões de serviços e provisões de medição. A gestão dos serviços de laboratório deve planejar e implementar os processos de monitoramento, medição, análise e melhoria de processos necessários para demonstrar a conformidade do POCT ao sistema da qualidade. A documentação do sistema de gestão da qualidade deve incluir as declarações documentadas de uma política da qualidade e objetivos da qualidade; o manual de qualidade; os procedimentos documentados exigidos por este documento; os documentos necessários à organização para garantir o planejamento, operação e controle eficazes de seus processos; e os registros exigidos por este documento.

Neste documento, o termo procedimento documentado significa que o procedimento é estabelecido, documentado, implementado e mantido. A extensão da documentação do sistema de gestão da qualidade pode diferir de uma organização para outra devido ao tamanho da organização e tipo de atividades; à complexidade dos processos e suas interações; e à competência do pessoal. A documentação pode estar em qualquer forma ou tipo de mídia que possa ser mantida e recuperada até os tempos de retenção especificados, dependendo dos requisitos locais, regionais e nacionais. A NBR ISO 15189:2015, 4.1.2.3 e 4.1.2.4, e o seguinte se aplicam.

O diretor do laboratório ou o responsável designado adequadamente qualificado deve garantir que os objetivos de qualidade para o POCT sejam estabelecidos e mensuráveis; o planejamento do sistema de gestão da qualidade seja realizado para atender aos requisitos do serviço, bem como aos objetivos da qualidade; e a integridade do sistema de gestão da qualidade seja mantida quando as mudanças no sistema de gestão da qualidade forem planejadas e implementadas. A NBR ISO 15189:2015, 4.2.2, e o seguinte se aplicam. A organização deve estabelecer e manter um manual de qualidade que inclua o escopo do sistema de gestão da qualidade; os procedimentos documentados estabelecidos para o sistema de gestão da qualidade, ou referência a eles; e uma descrição da interação entre os processos do sistema de gestão da qualidade.

A organização deve garantir que o POCT que não esteja em conformidade com os requisitos seja identificado e controlado para impedir o seu uso não intencional. Os controles e as responsabilidades e autoridades relacionadas para lidar com POCT não conforme devem ser definidos em um procedimento documentado. A organização deve lidar com o POCT não conforme de uma ou mais das seguintes maneiras: tomando medidas para eliminar a não conformidade detectada; autorizando o seu uso, liberação e aceitação; tomando medidas para impedir o uso ou aplicação pretendido. Devem ser mantidos registros da natureza das não conformidades e quaisquer ações subsequentes tomadas.

A organização deve determinar, coletar e analisar dados apropriados para avaliar onde a melhoria contínua da eficácia do sistema de gestão da qualidade pode ser feita. Isso deve incluir dados gerados como resultado de monitoramento e medição, bem como de outras fontes pertinentes. A análise dos dados deve fornecer informações relacionadas à satisfação do prestador de cuidados de saúde, paciente ou cliente (ver 4.12); à conformidade com os requisitos do POCT (ver 4.2); às características e tendências do POCT, incluindo oportunidades de ação preventiva; e aos fornecedores. A NBR ISO 15189:2015, 4.10, e o seguinte se aplicam. A organização deve tomar medidas para eliminar a causa das não conformidades, a fim de evitar a recorrência.

As ações corretivas devem ser apropriadas aos efeitos das não conformidades encontradas. Um procedimento documentado deve ser estabelecido para definir requisitos para analisar criticamente as não conformidades (incluindo reclamações de prestador de cuidados de saúde, paciente ou cliente); determinar as causas das não conformidades; avaliar a necessidade de ação para garantir que não conformidades não se repitam; determinar e implementar as ações necessárias; os registros dos resultados das ações tomadas; e analisar criticamente as ações corretivas adotadas.