O que são riscos psicossociais no trabalho?

Riscos psicossociais são fatores do ambiente de trabalho que podem afetar a saúde mental, física e social dos trabalhadores. Incluem sobrecarga de trabalho, falta de autonomia, assédio moral, conflitos interpessoais, insegurança no emprego e desequilíbrio entre trabalho e vida pessoal. A NR-1 atualizada tornou obrigatória sua identificação e gerenciamento.

O que a NR-1 exige sobre riscos psicossociais?

A NR-1 (atualizada pela Portaria MTE nº 1.419/2024) exige que todas as empresas identifiquem, avaliem e gerenciem os riscos psicossociais como parte do Gerenciamento de Riscos Ocupacionais (GRO). Isso inclui realizar avaliações periódicas, documentar no PGR, implementar medidas de prevenção e manter registros para auditoria.

Como o RISK.OS ajuda na conformidade com a NR-1?

O RISK.OS é uma plataforma completa que cobre todo o ciclo GRO com três instrumentos especializados: HSE-It validado cientificamente (35 itens, 7 dimensões), NR-1 Percepção proprietário (44 itens, 11 dimensões) e Offshore para ambientes confinados (66 itens, 16 dimensões). Inclui identificação de perigos, avaliação de riscos com matriz P×S, inventário, planos de ação 30/60/90 dias, relatórios profissionais para auditoria, consulta NTEP integrada e certificado de conformidade GRO.

Qual instrumento de avaliação o RISK.OS utiliza?

O RISK.OS oferece três instrumentos: o HSE-It (35 itens, 7 dimensões), validado cientificamente por Lucca & Sobral (2017, Unicamp); o NR-1 Percepção (44 itens, 11 dimensões), instrumento proprietário padronizado de rastreamento informado pelos modelos de Karasek, Siegrist e JD-R, alinhado ao Guia MTE (2025); e o NR-37 Offshore (66 itens, 16 dimensões) para ambientes confinados. Escala Likert 1-5, janela temporal de 30 dias.

O que é o NTEP e por que é importante para a NR-1?

O NTEP (Nexo Técnico Epidemiológico Previdenciário) estabelece relações entre doenças (CID-10) e atividades econômicas (CNAE). Quando há nexo NTEP, presume-se que a doença é ocupacional (inversão do ônus da prova). Doenças do grupo CID-F (Transtornos Mentais) são especialmente relevantes para a NR-1 e gestão de riscos psicossociais.

O RISK.OS substitui um psicólogo ou médico do trabalho?

Não. O RISK.OS é uma ferramenta organizacional de apoio ao GRO. Não realiza diagnóstico clínico individual. Os resultados são agregados e anônimos, servindo para identificar fatores de risco no ambiente de trabalho. Casos individuais devem ser encaminhados a profissionais de saúde qualificados.

Agendar demonstração Entrar

Relatório de Impacto à Proteção de Dados Pessoais

RIPD — Art. 38, LGPD (Lei 13.709/2018)

Última atualização: 17 de março de 2026 | Versão: RIPD-v3.0

1. Identificação do Controlador e Encarregado

Controlador (Operador da Plataforma)

Razão Social: Serviços GW Treinamentos LTDA.
CNPJ: 58.526.869/0001-54
Endereço: Natal/RN, Brasil
Representante Legal: Gabriel da Câmara Weydt

Encarregado de Dados (DPO)

Nome: Gabriel da Câmara Weydt
E-mail: [email protected]
Telefone: +55 84 99197-2927
Canal de Atendimento: [email protected]

2. Descrição do Tratamento de Dados

2.1 Natureza do Tratamento

O RISK.OS é uma plataforma SaaS B2B de gestão de riscos psicossociais ocupacionais, que realiza coleta, processamento, armazenamento e análise de dados pessoais de colaboradores de organizações clientes, com a finalidade de cumprir obrigações regulatórias (NR-1, NR-37) e gerar relatórios de diagnóstico de riscos psicossociais no ambiente de trabalho. A avaliação utiliza o instrumento HSE-It (Health and Safety Executive Indicator Tool), validado cientificamente no Brasil por Lucca & Sobral (2017, Unicamp, N=2.248), sob licença Open Government Licence v3.0.

2.2 Categorias de Dados Tratados

Categoria	Dados	Sensível?	Retenção
Cadastrais	Nome, e-mail corporativo, cargo, departamento	Não	Enquanto ativo + 5 anos
Demográficos	Faixa etária, gênero, tempo de empresa, turno	Parcial	Pseudonimizado — 5 anos
Respostas de Pesquisa	Respostas individuais ao questionário psicossocial	Sim (saúde)	Criptografado + pseudonimizado — 5 anos
Scores Agregados	Pontuações por dimensão, nível de risco	Não (agregado)	Enquanto relevante — 5 anos
Autenticação	Hash de senha, tokens de sessão, IP de acesso	Não	Sessão: 24h / Logs: 90 dias
Consentimento	Registro de aceite de cookies, versão da política, data	Não	5 anos após revogação

2.3 Titulares dos Dados

• Colaboradores: Funcionários das organizações clientes que respondem pesquisas psicossociais
• Gestores: Administradores organizacionais que acessam relatórios agregados
• Consultores: Profissionais de SST que gerenciam projetos e geram relatórios
• Leads: Visitantes que preenchem formulários de contato ou demonstração

3. Base Legal por Tipo de Dado

Operação	Base Legal (LGPD)	Artigo	Justificativa
Cadastro de colaboradores	Execução de contrato	`Art. 7, V`	Necessário para prestação do serviço contratado pela organização
Pesquisa psicossocial	Cumprimento de obrigação legal	`Art. 7, II + Art. 11, II, a`	NR-1 e NR-37 exigem avaliação de riscos psicossociais ocupacionais. Instrumento HSE-It validado (OGL v3.0) e instrumentos proprietários.
Dados demográficos	Consentimento	`Art. 7, I`	Coleta opcional, com consentimento explícito do colaborador
Cookies analíticos	Consentimento	`Art. 7, I`	Opt-in explícito via banner de cookies
Relatórios agregados	Legítimo interesse	`Art. 7, IX`	Dados anonimizados por k-anonimato (threshold mínimo de 7)
Logs de auditoria	Cumprimento de obrigação legal	`Art. 7, II`	Rastreabilidade exigida por normas de segurança do trabalho

4. Fluxo de Dados Pessoais

4.1 Diagrama do Fluxo

┌─────────────┐     ┌──────────────┐     ┌──────────────────┐
│ Colaborador │────▶│  Frontend    │────▶│  Backend (API)   │
│ (Titular)   │     │  (Browser)   │     │  (tRPC + Express)│
└─────────────┘     └──────────────┘     └────────┬─────────┘
                                                   │
                    ┌──────────────────────────────┤
                    │                              │
              ┌─────▼──────┐              ┌────────▼─────────┐
              │  TiDB Cloud │              │  S3 (Arquivos)   │
              │  (MySQL)    │              │  (Evidências)    │
              │             │              │                  │
              │ • Cadastros │              │ • Relatórios PDF │
              │ • Respostas │              │ • Evidências     │
              │   (AES-256) │              │ • Exports        │
              │ • Scores    │              └──────────────────┘
              │ • Audit Log │
              └─────────────┘

MEDIDAS DE PROTEÇÃO POR CAMADA:

[Coleta]     → Consentimento granular (cookies) + Opt-in demográficos
[Transporte] → HTTPS/TLS 1.3 em todas as conexões
[Aplicação]  → HMAC-SHA256 (dedupHash) para pseudonimização
             → AES-256-GCM para criptografia de respostas
             → k-anonimato (threshold ≥ 7) para relatórios
[Banco]      → Criptografia at-rest (TiDB Cloud)
             → Campos sensíveis criptografados (AES-256-GCM)
[Acesso]     → RBAC (5 níveis de papel)
             → Rate limiting + Account lockout
             → Audit log completo

4.2 Compartilhamento de Dados

Destinatário	Dados Compartilhados	Finalidade	Base Legal
Organização contratante	Relatórios agregados (nunca individuais)	Gestão de riscos ocupacionais	Execução de contrato
Consultor SST	Dados de projeto + relatórios	Prestação de serviço técnico	Execução de contrato
Suboperadores (ver lista)	Conforme necessidade técnica	Infraestrutura e serviços	Legítimo interesse

5. Análise de Necessidade e Proporcionalidade

5.1 Necessidade

O tratamento de dados pessoais, incluindo dados sensíveis relacionados à saúde ocupacional, é estritamente necessário para:

• Cumprimento das NR-1 e NR-37, que exigem avaliação de riscos psicossociais
• Geração de diagnósticos que permitam ações preventivas no ambiente de trabalho
• Rastreabilidade documental exigida por fiscalização trabalhista

5.2 Proporcionalidade

O sistema implementa o princípio da minimização de dados:

• Pseudonimização: Respostas são desvinculadas da identidade via HMAC-SHA256
• k-Anonimato: Relatórios só são liberados com mínimo de 7 respostas
• Criptografia: Respostas individuais criptografadas com AES-256-GCM
• Dados opcionais: Demográficos são coletados apenas com consentimento explícito
• Retenção limitada: Dados pessoais retidos por no máximo 5 anos

6. Análise de Riscos

Risco	Probabilidade	Impacto	Nível	Mitigação
Acesso não autorizado ao banco	Baixa	Alto	Médio	Criptografia AES-256-GCM + RBAC + audit log
Reidentificação de respondentes	Muito baixa	Alto	Baixo	HMAC pseudonimização + k-anonimato (≥7) + sem userId
Vazamento de dados sensíveis	Baixa	Crítico	Médio	CSP headers + TLS + criptografia campo a campo + minimização
Uso indevido por gestor (assédio)	Baixa	Alto	Médio	Relatórios apenas agregados + threshold + sem acesso individual
Perda de dados	Muito baixa	Médio	Baixo	TiDB Cloud com replicação + S3 com redundância
Transferência internacional irregular	Média	Médio	Médio	Cláusulas contratuais padrão + DPA com suboperadores

7. Medidas de Mitigação Implementadas

Pseudonimização (HMAC-SHA256)

Implementado

Respostas de pesquisa desvinculadas da identidade do respondente via hash irreversível. userId não é armazenado nas respostas.

Criptografia AES-256-GCM

Implementado

Campo answers criptografado com IV aleatório por registro. Chave derivada via PBKDF2 (100k iterações).

k-Anonimato (threshold ≥ 7)

Implementado

Relatórios agregados só são liberados quando o número de respostas atinge o threshold mínimo configurável.

RBAC (5 níveis)

Implementado

Controle de acesso baseado em papéis: Superadmin, Consultor, Corporate Admin, Org Manager, Colaborador.

Content Security Policy (CSP)

Implementado

Meta tag CSP restringindo scripts, estilos, imagens, fontes e conexões a domínios autorizados.

Consentimento Granular

Implementado

Banner de cookies com opção 'Apenas essenciais' vs 'Aceitar todos'. Analytics só após opt-in explícito.

Audit Log Completo

Implementado

Registro de todas as ações administrativas, solicitações LGPD e alterações de dados com timestamp e ator.

Rate Limiting + Account Lockout

Implementado

Proteção contra brute force com bloqueio progressivo de conta após tentativas falhas.

Direitos do Titular (Art. 18)

Implementado

Painel de privacidade com exportação de dados, revogação de consentimento e solicitação de exclusão.

TLS 1.3 em Trânsito

Implementado

Todas as conexões entre cliente, servidor e banco de dados são criptografadas via HTTPS/TLS.

8. Direitos dos Titulares

O RISK.OS implementa mecanismos técnicos para exercício dos direitos previstos no Art. 18 da LGPD:

Direito	Artigo	Implementação	Canal
Confirmação e acesso	Art. 18, I-II	Exportação JSON via painel de privacidade	Configurações → Privacidade
Correção	Art. 18, III	Edição de perfil pelo próprio titular	Configurações → Perfil
Anonimização	Art. 18, IV	Respostas já pseudonimizadas por padrão	Automático
Portabilidade	Art. 18, V	Download JSON estruturado com todos os dados	Configurações → Privacidade
Eliminação	Art. 18, VI	Solicitação via painel + processamento em até 15 dias úteis	Configurações → Privacidade
Revogação de consentimento	Art. 8, §5	Botão de revogação com efeito imediato	Configurações → Privacidade

9. Transferência Internacional de Dados

Alguns suboperadores do RISK.OS processam dados em servidores localizados fora do Brasil (EUA). As transferências são realizadas com base no Art. 33 da LGPD e na Resolução CD/ANPD nº 19/2024 (Regulamento de Transferências Internacionais), utilizando as seguintes salvaguardas:

• Cláusulas-padrão contratuais (Art. 33, II, "b" LGPD / Art. 4º Res. 19/2024) com cada suboperador internacional
• Data Processing Agreements (DPAs) formalizados com obrigações equivalentes
• Certificações de segurança dos provedores (SOC 2, ISO 27001, PCI DSS)
• Criptografia em trânsito e em repouso para todos os dados transferidos

Nota: Os EUA não possuem, até a presente data, decisão de adequação pela ANPD. Para suboperadores sediados nos EUA (TiDB Cloud, AWS, Stripe, Manus, hCaptcha), utilizamos cláusulas-padrão contratuais como mecanismo de transferência, conforme Art. 4º da Resolução CD/ANPD nº 19/2024.

A lista completa de suboperadores e suas localizações está disponível em Lista de Suboperadores.

10. Parecer e Recomendações

Parecer Técnico

Com base na análise realizada, o tratamento de dados pessoais pelo RISK.OS apresenta nível de risco residual médio-baixo, considerando as medidas técnicas e organizacionais implementadas. O sistema demonstra conformidade substancial com os princípios da LGPD, particularmente nos aspectos de minimização, pseudonimização e segurança.

Recomendações

1. [CONCLUÍDO] DPO nomeado: Gabriel da Câmara Weydt ([email protected])
2. [CONCLUÍDO] DPAs formalizados com todos os suboperadores listados
3. Implementar programa de treinamento em proteção de dados para a equipe
4. [CONCLUÍDO] Revisão periódica estabelecida: anual ou a cada mudança significativa. Próxima revisão: março de 2027
5. Obter certificação ISO 27001 ou SOC 2 Type II para o ambiente de produção
6. Realizar testes de penetração periódicos (pentest) no ambiente

Assinaturas

Gabriel da Câmara Weydt

Responsável Técnico e Representante Legal — RISK.OS

Gabriel da Câmara Weydt

Encarregado de Proteção de Dados (DPO)

Data de elaboração: 17 de março de 2026 | Próxima revisão prevista: Março de 2027

Documentos Relacionados

Política de Privacidade•Termos de Uso•DPA•Lista de Suboperadores