Fundamentação extensa

Matriz de Conformidade (Lei n.º 93/2021 e RGPD)

Versão: 1.0 (draft para revisão)

Objetivo: explicar, requisito a requisito, por que motivo cada meio de receção de denúncias recebe a classificação indicada na matriz, e como a EKOAR suporta os requisitos legais.

1) Legenda (símbolos)

• ✓ Suporta por definição (o próprio meio, como está descrito, permite cumprir o requisito)

• • Exige procedimentos internos adicionais (o meio permite, mas não assegura por si evidência e controlo)

• △ Capacidade limitada (cumpre parcialmente, com limitações relevantes)

• ✕ Não cumpre (o meio, por natureza, não permite cumprir o requisito)

2) Meios comparados

Definições operacionais

Para garantir consistência, a comparação usa definições típicas, e não versões idealizadas.

1) Email: endereço dedicado (exemplo, denuncias@…), sem plataforma de gestão de casos associada.

2) Formulário anónimo (texto), urna digital: formulário simples que recebe texto e anexos, sem CUA e sem consulta do estado pelo denunciante.

3) Telefone, voz: linha telefónica, voicemail ou receção por chamada, sem sistema de gestão de casos associado.

4) Canais móveis: WhatsApp, Telegram ou SMS em número ou conta da entidade, sem sistema de gestão de casos associado.

5) Urna física: receção em papel, com depósito em urna local.

6) EKOAR: canal dedicado com gestão de casos, consulta por CUA, histórico e auditoria. Inclui recolha de áudio com distorção de voz operacional.

R1 Canal interno obrigatório (Lei 93/2021, Art. 8.º)

O que a lei exige

As entidades obrigadas devem dispor de canais de denúncia interna.

Classificação atribuída e racional

• Email: ✓, constitui um meio formal de receção interna quando instituído pela entidade.

• Formulário anónimo (texto): ✓, constitui meio formal de receção interna.

• Telefone, voz: ✓, constitui meio formal de receção interna.

• Canais móveis: ✓, pode ser instituído como meio formal de receção interna.

• Urna física: ✓, pode ser instituída como meio formal de receção interna.

• EKOAR: ✓, canal interno dedicado, ativado e operacional.

Como a EKOAR suporta o requisito

A EKOAR disponibiliza um canal interno dedicado (URL pública do canal e portal interno de gestão), pronto a usar, para receção e seguimento de denúncias.

R2 Formas de denúncia (escrita e ou verbal) (Lei 93/2021, Art. 10.º, n.º 1)

O que a lei exige

O canal deve permitir denúncia por escrito e ou verbalmente.

Classificação atribuída e racional

• Email: ✓, suporta denúncia por escrito.

• Formulário anónimo (texto): ✓, suporta denúncia por escrito.

• Telefone, voz: ✓, suporta denúncia verbal.

• Canais móveis: ✓, suportam denúncia por escrito, e em algumas plataformas, também por voz.

• Urna física: ✓, suporta denúncia por escrito.

• EKOAR: ✓, suporta denúncia por escrito e suporte verbal (áudio) integrado.

Como a EKOAR suporta o requisito

A EKOAR suporta:

• Denúncia escrita via formulário estruturado e anexos.

• Denúncia verbal via recolha de áudio com distorção de voz, com registo associado ao caso.

R3 Confirmação de receção (até 7 dias) (Lei 93/2021, Art. 11.º, n.º 1)

O que a lei exige

A entidade notifica o denunciante da receção da denúncia no prazo de 7 dias.

Classificação atribuída e racional

• Email: •, é possível confirmar por resposta, mas depende de disciplina interna (monitorização, prazos, registo e evidência).

• Formulário anónimo (texto): ✕, sem canal de retorno (sem email, telefone ou CUA), não há forma de notificar o denunciante.

• Telefone, voz: •, é possível confirmar se existir contacto de retorno e registo interno; o meio por si não assegura evidência nem prazo.

• Canais móveis: •, é possível confirmar por mensagem, mas depende de disciplina interna e não assegura por si evidência formal, segregação e auditoria.

• Urna física: ✕, não permite notificar o denunciante.

• EKOAR: ✓, suporta confirmação com evidência e registo no processo.

Como a EKOAR suporta o requisito

A EKOAR operacionaliza a confirmação dentro do prazo legal através de:

• Registo de receção no sistema (data e hora, e identificador do caso).

• Confirmação ao denunciante no canal de consulta (CUA) e ou mensagem no chat do processo.

• Auditoria de comunicações e eventos associados ao caso.

R4 Informação sobre o seguimento (até 3 meses) (Lei 93/2021, Art. 11.º, n.º 3)

O que a lei exige

A entidade comunica ao denunciante informação sobre o seguimento dado à denúncia no prazo máximo de 3 meses.

Classificação atribuída e racional

• Email: •, possível por email, mas depende de disciplina interna, organização de casos e prova do envio e receção.

• Formulário anónimo (texto): ✕, sem canal de retorno (sem CUA e consulta), não existe forma de comunicar seguimento.

• Telefone, voz: •, possível se houver contacto e registo interno; o meio por si não assegura evidência.

• Canais móveis: •, possível por mensagem, mas depende de disciplina interna e não assegura evidência formal e segregação por defeito.

• Urna física: ✕, não permite feedback ao denunciante.

• EKOAR: ✓, suporta comunicação de seguimento com histórico e evidência.

Como a EKOAR suporta o requisito

A EKOAR permite:

• Atualização do estado do processo com histórico.

• Comunicação ao denunciante via canal de consulta (CUA) e ou chat do processo.

• Registo auditável do conteúdo e do momento da comunicação.

R5 Confidencialidade e anonimato (Lei 93/2021, Art. 18.º)

O que a lei exige

A identidade do denunciante e informação que permita deduzi-la tem natureza confidencial, com acesso restrito.

Classificação atribuída e racional

• Email: △, depende da configuração (caixas partilhadas, reencaminhamentos, backups, acessos); não suporta anonimato robusto por defeito.

• Formulário anónimo (texto): ✓, permite submissão sem identificação, desde que não exija dados pessoais.

• Telefone, voz: △, chamadas podem revelar número e voz; depende de práticas internas e gravação e armazenamento.

• Canais móveis: △, normalmente associam identidade (número ou conta); depende de controlo de dispositivos e acessos.

• Urna física: △, pode ser anónima, mas depende de controlo físico, cadeia de custódia e acesso.

• EKOAR: ✓, confidencialidade por desenho e anonimato conforme decisão do denunciante.

Como a EKOAR suporta o requisito

A EKOAR suporta confidencialidade e anonimato através de:

• Submissão sem identificação obrigatória.

• Acessos restritos por perfis e permissões, com segregação por entidade.

• Logs de acessos e ações.

• Sanitização de anexos (remoção de metadados e renomeação).

• Recolha de áudio com distorção de voz (reduzindo risco de identificação).

R6 Tratamento de dados (RGPD) (Lei 93/2021, Art. 19.º e RGPD)

O que a lei exige

O tratamento de dados no âmbito do canal deve respeitar o RGPD (adequação, minimização, segurança e accountability).

Classificação atribuída e racional

• Email: •, cumpre se a entidade implementar controlos (acesso, retenção, segurança, backups, DLP); o meio não assegura por si políticas e evidência.

• Formulário anónimo (texto): •, cumpre se existir backoffice seguro, retenção e purga e controlo de acessos; o meio simples não assegura por si.

• Telefone, voz: •, cumpre se houver regras de gravação ou transcrição, retenção e acesso.

• Canais móveis: △, maior risco de cópias e backups pessoais e identificação; depende de práticas internas rigorosas.

• Urna física: •, cumpre se houver regras de arquivo físico, acesso e retenção e purga; exige processos formais.

• EKOAR: ✓, controlos e funcionalidades de segurança, retenção e evidência suportam o cumprimento.

Como a EKOAR suporta o requisito

A EKOAR implementa medidas técnicas e organizacionais relevantes, incluindo:

• Controlo de acesso e autenticação.

• Encriptação em trânsito e hardening aplicacional.

• Políticas de retenção e purga configuráveis.

• Exportação e auditoria para accountability.

R7 Registo e conservação do processo (Lei 93/2021, Art. 20.º)

O que a lei exige

As denúncias devem ser registadas e conservadas por um período mínimo de 5 anos, ou durante processos pendentes.

Classificação atribuída e racional

• Email: •, existe registo, mas a conservação consistente e auditável depende de políticas internas (arquivo, retenção, organização por caso).

• Formulário anónimo (texto): •, depende de sistema de armazenamento e organização do processo.

• Telefone, voz: •, depende de gravação ou transcrição, arquivo, controlo de acessos e cadeia de evidência.

• Canais móveis: △, histórico existe, mas exportação, auditoria e retenção formal são frágeis.

• Urna física: •, exige cadeia de custódia, digitalização e arquivo e controlo de acesso.

• EKOAR: ✓, gestão de casos com histórico, auditoria e retenção e purga configuráveis.

Como a EKOAR suporta o requisito

A EKOAR mantém registo completo do caso:

• Identificador do processo.

• Histórico de estados e ações.

• Histórico de comunicações, quando aplicável.

• Anexos e evidência.

• Trilho auditável (quem fez o quê e quando).

• Conservação alinhada com a política definida para o canal.

R8 Canal seguro (técnico e organizacional) (Lei 93/2021, Art. 9.º)

O que a lei exige

O canal deve assegurar integridade, exaustividade, conservação e impedir acesso por não autorizados.

Classificação atribuída e racional

• Email: △, depende de MFA, permissões, anti phishing, backups e controlo de reencaminhamento; não fornece gestão de casos segura por defeito.

• Formulário anónimo (texto): △, depende da implementação (hosting, hardening, logs, controlo de acesso ao backoffice).

• Telefone, voz: △, depende de gravação segura, restrição de acessos e arquivo.

• Canais móveis: △, dependem de dispositivos e contas; risco de acessos indevidos e cópias.

• Urna física: △, depende de segurança física, acesso e cadeia de custódia.

• EKOAR: ✓, segurança por desenho e controlos operacionais.

Como a EKOAR suporta o requisito

A EKOAR fornece:

• Segregação por entidade.

• Permissões e perfis de acesso.

• Logs e auditoria.

• Controlos aplicacionais e hardening.

• Políticas de retenção e purga.

• Infraestrutura em cloud na UE, quando contratada nesse modelo.

R9 Independência e imparcialidade (Lei 93/2021, Art. 9.º)

O que a lei exige

A receção e o seguimento devem cumprir independência, imparcialidade e ausência de conflitos de interesses.

Classificação atribuída e racional

• Email: •, depende de quem tem acesso e de como a entidade separa funções e conflitos.

• Formulário anónimo (texto): •, depende de organização interna e de quem recebe e trata.

• Telefone, voz: •, depende de quem atende e governação interna.

• Canais móveis: •, depende de quem gere o número ou conta e processos internos.

• Urna física: •, depende de quem recolhe e abre e como se previne interferência.

• EKOAR: ✓, fornece mecanismos operacionais e auditáveis de segregação e controlo.

Como a EKOAR suporta o requisito

A EKOAR garante operacionalmente:

• Perfis e permissões diferenciados (exemplo, gestor vs investigador).

• Atribuição controlada de processos com registo.

• Histórico auditável de ações e decisões.

• Visibilidade e rastreabilidade que suportam auditoria interna e externa.

R10 Informação sobre vias externas (Lei 93/2021, Art. 11.º, n.º 1)

O que a lei exige

O denunciante deve ser informado, de forma clara e acessível, sobre requisitos, autoridades competentes e admissibilidade da denúncia externa.

Classificação atribuída e racional

• Email: •, pode informar por mensagem, mas depende de templates e disciplina interna.

• Formulário anónimo (texto): •, pode apresentar informação na própria página; depende do conteúdo publicado pela entidade.

• Telefone, voz: •, pode ser comunicado verbalmente; depende de scripts e registo do conteúdo.

• Canais móveis: •, pode ser comunicado por mensagem; depende de templates e disciplina.

• Urna física: •, pode ser afixado em regulamento ou cartaz; depende de medidas internas.

• EKOAR: ✓, informação é entregue por defeito no canal e mantida como conteúdo base.

Como a EKOAR suporta o requisito

A EKOAR inclui, por defeito, textos e templates no canal com:

• Informação sobre o âmbito do canal.

• Referência a denúncia externa e requisitos aplicáveis (conteúdo informativo).

• Linguagem clara e acessível, integrada no fluxo do canal.

R11 Proteção do denunciante (retaliação) (Lei 93/2021, Art. 21.º)

O que a lei exige

São proibidos atos de retaliação contra o denunciante e pessoas protegidas.

Classificação atribuída e racional

• Email: •, a proteção depende de confidencialidade, sigilo e medidas internas; o meio expõe identidade com facilidade.

• Formulário anónimo (texto): •, anonimato reduz risco, mas a proteção depende de procedimentos internos e controlo de acesso.

• Telefone, voz: •, identidade pode ser inferida; proteção depende de sigilo e medidas internas.

• Canais móveis: •, normalmente identificam a pessoa; proteção depende de medidas internas e sigilo.

• Urna física: •, pode reduzir identificação, mas a proteção depende de procedimentos internos.

• EKOAR: ✓, mecanismos técnicos e de operação suportam proteção do denunciante, reduzindo exposição e reforçando evidência.

Como a EKOAR suporta o requisito

A EKOAR reforça a proteção do denunciante no âmbito do canal através de:

• Anonimato conforme decisão do denunciante.

• Confidencialidade por desenho (permissões e acessos auditáveis).

• Avisos e mensagens padrão sobre proibição de retaliação e boas práticas.

• Evidência auditável do tratamento, suportando responsabilização e controlo.

Anexo A

Mapa rápido de símbolos (para conferência)

Este anexo pode ser preenchido com a grelha final em produção.

O presente documento explica o racional por requisito.