GH GambleHub

Canal para informadores e proteção de dados

1) Destino e área

Forneça uma maneira segura, acessível e confiável para funcionários, empreiteiros, afiliados e outros steakholders denunciarem violações (corrupção, fraude, AML/sanções, RG, GDPR/PII, PCI/IB, publicidade/afiliados, conflitos de interesse, discriminação e assédio, violação de licenças/lei). O documento regulamenta canais, anonimato, processamento de dados, procedimentos de investigação e proteção contra represálias.

2) Princípios

Tolerância zero à repressão. Qualquer retaliação é proibida.
Privacidade e minimização de dados. A coleta é apenas necessária, de acordo com o princípio need-to-know.
Anonimato por escolha do informante. A oportunidade de se comunicar sem revelar a identidade.
Oportunidade e justiça. SLA recepção/revisão; metodologia documentada, imparcial.
Independência. Separação de papéis: recepção de mensagens, investigação, sanções.
Transparência do processo. Rastreamento de status, feedback, estatísticas públicas sem personalidade.

3) Papéis e RACI

Whistlablowing Officer (WBO) é o dono do processo, triagem, coordenação de investigações, relatórios. (A/R)

Compliance/Legal/DPO - avaliação legal, proteção de dados, política de privacidade. (R/C)

InfoSec/CISO - segurança de canais, criptografia, controle de acesso, registro. (R)

HR/ER - maletas de ética/comportamento, medidas de suporte. (R)

A Auditoria Internacional (IA) é um controle independente de qualidade de investigação e CAPA. (C)

Segurança/Trust & Safety - mala técnica/frod, coleta de artefatos digitais. (R)

Exec Sponsor (CEO/COO) - «tone from the top», recursos, escalas S1. (I/A)

4) Canais de recepção de mensagens

1. Formulário Web (recomendado principal): suporte ao anonimato; correspondência protegida por token/pin.
2. E-mail: caixa dedicada com encriptação automática, auto-gravação sem divulgação de conteúdo.
3. Linha/telefone: gravação no sistema de camuflagem de dados.
4. O bate-papo no serviço de mensagens corporativo não é anónimo (ou proxy).
5. Endereço postal/caixa física: para mensagens offline (digitalização e download no Sistema).
6. Contato direto com WBO/IA: reunião pessoal - à vontade do informador.

TLS end-to-end, armazenamento em armazenamento criptografado, RBAC, registros de acesso inalterados, falta de rastreamento de IP/dispositivos anônimos, política de cookies/logs transparente.

5) Proteção de dados e fundamentos legais

Lawful basis: cumprimento de deveres legais, interesses legítimos da empresa, interesse público (dependendo da jurisdição).
DPIA: Antes do lançamento - avaliação do impacto sobre a privacidade; a fixação de riscos e medidas de redução.
Classificação de dados: pessoal, sensível (saúde, etnia etc.), segredo comercial, artefatos de investigação.
Minimizar: não recolher mais; excluir documentos não compatíveis.
Transferências, apenas se houver fundamentos legais e garantias contratuais.
Direitos das entidades de dados: DSAR processados por DPO; excepção: não revelar a identidade do informante e dados que comprometam a investigação/terceiros.
Retenção: mensagens e artefactos - normalmente 5 anos ou sob política/lei/licença; em seguida, a remoção segura (crypto-shred/apagar lógico com registro).

6) Segurança e medidas técnicas

Criptografia: at-rest (KMS/HSM), in-transit (TLS), chaves rotativas e separação.
Acesso: RBAC/ABAC, princípio de menores privilégios, domínios individuais para malas anônimas.
Registros: imutáveis (WORM), monitoramento de acessos extraordinários, alertas.
Segmentação: sistema de mensagens isolado dos sistemas de prod; bacapes individuais com verificação de recuperação.
Metadados: camuflar, remover o EXIF dos anexos, avisar o informante sobre a identificação automática.
Os canais de comunicação secretos são uma caixa de correio segura/correio para correspondência anónima bilateral.

7) Classificação das malas e prioridades

S1 (Crítico): corrupção/suborno, grande frota, fuga de PII/PCI, ameaças à vida/segurança, violações graves de licenças/leis.
S2 (Alto): Violações sistêmicas de políticas (AML/RG/GDPR/IB), graves conflitos de interesse, discriminação/assédio.
S3 (Média): violações de procedimentos locais, erros de publicidade/afiliação, distúrbios de comportamento.
S4 (Baixo): ofertas de melhorias, incidentes de baixo risco.

SLA:
  • Recibo de recepção: S1/S2 - ≤ 24 h; S3/S4 - ≤ 3 rd.
  • Nota primária (triage): S1 - ≤ 48 h; S2 - ≤ 5 r.d.; S3/S4 - ≤ 10 rd.
  • Plano de investigação: S1 - ≤ 3 R.D.; S2 - ≤ 10 rd.

8) Processo da mensagem até o encerramento

Passo 1 - Recepção e recibo. Atribuição de ID, fixação de canal, salvação de provas «como está».
Passo 2 - Triagem e Independência. Verificar o conflito de interesses entre os nomeados; durante o conflito, a redistribuição.
Passo 3 - Avaliação de risco e plano. Volume, hipótese, legalidade dos métodos, lista de artefatos, mapa de trânsito.
Passo 4 - Recolher provas. Documentos, logs, entrevistas, amostras de transações; cumprimento de chain-of-custody.
Passo 5 - Análises e conclusões. Fato → critério (política/lei/licença) → risco → influência.
Passo 6 - Recomendações e CAPA. Ações de ajuste/prevenção, proprietários, prazos, métricas de sucesso.
Passo 7 - Comunicações e feedback. Sem revelar a identidade do informante; linguagem suave (sem acusações até a final).
Passo 8 - Encerramento e retenção. Relatório final, status, armazenamento de artefactos, estatísticas impessoais.

9) Comunicação e proteção do informante

Nada de tipping-off. Não revelar os alegados infratores da denúncia ou investigação.
Proteção contra represálias. São proibidos rebaixamento, demissão, privação de bônus, assédio, etc. A retaliação é considerada uma infração S1/S2 separada.
Suporte: se necessário - transferência para outra equipe, férias, aconselhamento HR/advogados/apoio psicológico.
Comunicação anónima bidirecional: O informador pode fazer perguntas e obter status através do inbox/token Web.

10) Relação com outros políticos

Código de Ética e Conduta - padrões e canais.
Política anticorrupção - dê diligence, presentes, intermediários.
GDPR/PII - legalidade do processamento, DSAR, retenção.
AML/RG/PCI/IB - Procedimentos de perfil e triagem.
A auditoria interna é um controlo independente da qualidade das investigações.

11) Folhas de cheque

11. 1 Antes de iniciar o canal

  • DPIA e política de privacidade foram aprovados pelo DPO/Legal.
  • Arquitetura técnica: criptografia, RBAC, revistas WORM.
  • Você configurou um formulário Web anônimo e uma ligação bilateral por token.
  • Treinamento WBO/Triagem em metodologia de investigação.
  • Modelos elaborados (recibo, plano de investigação, relatório, carta de encerramento).
  • Campanha de comunicação: «tone from the top», posters, intranet, FAQ.

11. 2 Recepção de mensagem

  • ID atribuído, data/canal/nível S gravada.
  • A confirmação foi enviada ao informante sem a divulgação dos detalhes.
  • Verificou o conflito de interesses entre os atores.
  • Todos os anexos/metadados foram registrados e a identificação foi feita.

11. 3 Investigação

  • O plano e as hipóteses foram aprovados (Legal/DPO/InfoSec - por necessidade).
  • O chain-of-custody é feito para cada artefato.
  • As entrevistas são registradas; aviso de privacidade.
  • As conclusões são baseadas em factos comprovados, o peer-review foi realizado.

11. 4 Encerramento

  • CAPA está marcado, prazos e métricas definidos.
  • O informante recebeu um feedback impessoal.
  • A retenção/classificação está definida; os artefatos estão arquivados.
  • As estatísticas foram atualizadas em dashbord.

12) Modelos de documento (inserções rápidas)

A) Recibo ao informante

💡 Obrigado pela mensagem. Seu ID é WB-XXXX. Vamos analisar as informações e contactá-las, se necessário, através deste canal seguro. Pode manter-se anónimo. Por favor, não revele publicamente até que a verificação seja concluída.

B) Plano de investigação (one-pager)

Mala: WB-XXXX Prioridade: S1/S2/S3/S4 Proprietário:... Prazo:...
Hipótese/critérios:...
Dados/artefatos:...

Entrevista: lista/cronograma

Riscos de privacidade/restrições legais:...
Comunicações e pontos de controle:...

C) Relatório final (estrutura)

Resumos Os Critérios (Política/Lei) Análise Conclusões Recomendação CAPA Anexos (Artefatos).

D) Carta de fechamento

💡 Informamos que o exame da mala WB-XXXX está concluído. Medidas de conformidade foram tomadas. Obrigado por contribuir para o trabalho ético e seguro da empresa.

13) Métricas e dashboard

Intake Volume: número de mensagens por categoria e canal.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA conformidade com os níveis S.
CAPA Progress: concluído/em trabalho/vencido, mediana de fechamento.
Retaliation Index: Queixas de resposta registradas (alvo: 0).
Anonymity Rate: proporção de mensagens anônimas e sua conversão em malas confirmadas.
Repeat Findings: repetibilidade de tópicos em 12 mes.
Awareness Impacto: aumento de acessos após campanhas; NPS confiável ao canal.

14) Riscos e controles

Desanimização através de metadados, → de identificação, remoção de EXIF, avisos explícitos.
→ RBAC, segmentação, registros WORM, revisões regulares de acesso.
Mensagens/abusos fictícios, filtro educado e verificação de factos; Sanções por alegadamente falsas declarações (sem efeito de intimidação).
Conflito de interesses na investigação, rotação → de artistas, participação de IA/Legal.
Repressão, → um fluxo separado de queixas; Resposta rápida HR/Compliance.

15) Formação e conscientização

Plug-in sobre canal, anonimato e proteção de dados (teste ≥ 85%).
Readequação anual para todos; treinamentos adicionais para WBO/Investigativos.
Campanhas trimestrais (cartazes/bot quizes/vídeo): como apresentar, o que se espera, exemplos.

16) Plano de implementação de 30 dias

Semana 1

1. Atribuir WBO e grupo de trabalho (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Fazer DPIA, aprovar políticas de privacidade e reticência.
3. Especializar canais (formulário/correio/linha), requisitos de anonimato e logs.

Semana 2

4. Implementar plataforma técnica: criptografia, RBAC, revistas WORM, Web inbox anônimo.
5. Preparar modelos e SOP: recibo, plano, relatório, carta de fechamento, CAPA.
6. Treinar WBO/Triagem; prescrever RACI e SLA.

Semana 3

7. Piloto: 1-2 mala de teste (mesa-top), verificação da cadeia de provas e retenções.
8. Personalizar o dashboard de métricas e relatórios para gerenciamento/comitê.
9. Comunicações: Carta CEO, página intranet, FAQ, cartazes.

Semana 4

10. Iniciar o canal; monitoramento da SLA/carga; suporte quente.
11. Revisões semanais das malas S1/S2 e CAPA.
12. Retrô e ajustes v1. 1 (política, formulários, formação).

17) Seções relacionadas

Código de Ética e Conduta

Política anticorrupção

Treinamento e capacitação AML/Conscientização do pessoal sobre a complacência

Playbooks e cenários de incidentes

Dashboard de complacência e monitoramento

Auditoria interna e auditoria externa

Notificações de violações e prazos de relatórios

Relatórios regulatórios e formatos de dados

Contact

Entrar em contacto

Contacte-nos para qualquer questão ou necessidade de apoio.Estamos sempre prontos para ajudar!

Telegram
@Gamble_GC
Iniciar integração

O Email é obrigatório. Telegram ou WhatsApp — opcionais.

O seu nome opcional
Email opcional
Assunto opcional
Mensagem opcional
Telegram opcional
@
Se indicar Telegram — responderemos também por lá.
WhatsApp opcional
Formato: +indicativo e número (ex.: +351XXXXXXXXX).

Ao clicar, concorda com o tratamento dos seus dados.