O sucesso de um diagnóstico psicossocial depende de um fator simples: o trabalhador respondeu com sinceridade? E o trabalhador só responde com sinceridade quando tem certeza técnica — não certeza por palavra — de que sua resposta não pode ser identificada.
Este artigo explica a arquitetura de anonimato técnico real que a MenteNR1 adota, por que é uma exigência implícita da NR-1 e da LGPD, e por que pesquisa de clima genérica falha nesse ponto.
Anonimato declarativo versus técnico
Anonimato declarativo
Funciona assim: a plataforma diz "esta pesquisa é anônima", o gestor confia, o trabalhador confia. Mas tecnicamente, o sistema pode ter:
- Log de IP
- Cookie de sessão
- Token de autenticação SSO
- ID de dispositivo
- Chave estrangeira no banco entre respondente e resposta
Em qualquer um desses casos, com tempo e engenharia reversa, é tecnicamente possível reconstruir a identidade do respondente. O "anonimato" só existe enquanto a parte que controla os dados resolve não usar essas informações.
Anonimato técnico real
O sistema é construído de modo que não há nenhum dado que vincule o respondente à resposta. Não é "anônimo porque promete", é anônimo porque tecnicamente não há como deixar de ser.
A arquitetura da MenteNR1
O módulo psicossocial da MenteNR1 implementa três camadas técnicas:
1. Separação total no banco de dados
A tabela de respondentes (quem foi convidado) e a tabela de respostas (o que foi respondido) não têm chave estrangeira em comum. O respondente é convidado por e-mail com um token de uso único; ao responder, o token é descartado e a resposta entra em outra tabela com apenas o identificador de setor agrupado. Não há registro de "fulano respondeu isso".
2. Sem log de IP, sessão ou dispositivo
O servidor que recebe respostas não armazena IP de origem. O cookie de sessão é destruído ao final do envio. O fingerprint do navegador não é coletado. Isso é auditável tecnicamente — o código da plataforma pode ser inspeccionado.
3. K-anonymity com k=5
Resultados agregados só são exibidos quando há um mínimo de 5 respondentes no recorte. Se a unidade tem 3 pessoas e todas respondem, o resultado é automaticamente agrupado com o setor vizinho. Isso impede identificação cruzada (qual foi a resposta da equipe de 2 pessoas).
Por que isso importa para a NR-1
O subitem 1.5.7.3.2 da NR-1 exige inventário psicossocial. Para que o inventário seja tecnicamente válido, os dados precisam ser coletados em condições que permitam respostas honestas. Trabalhadores que temem identificação respondem de forma defensiva, distorcendo o resultado.
Quando o auditor analisa um PGR com diagnóstico psicossocial em que a taxa de adesão é baixa ou as respostas são uniformemente positivas (sinal de medo), ele pode questionar a representatividade. Diagnóstico tecnicamente comprometido equivale a ausência de diagnóstico.
Por que isso importa para a LGPD
A LGPD (Lei 13.709/2018) exige que tratamento de dados pessoais tenha base legal, finalidade clara e mínimo necessário. Mas o melhor caminho de compliance LGPD é não tratar dado pessoal sensível em primeiro lugar.
Dado psicossocial é sensível por definição
Resposta sobre nível de ansiedade, exposição a assédio, satisfação com chefia direta — tudo isso, vinculado a pessoa identificada, é dado sensível com proteção reforçada pela LGPD. Vazamento gera dano moral coletivo, ação civil pública e penalidades da ANPD.
A solução · privacidade por design
Quando a arquitetura nunca armazena dado vinculado, não há dado sensível a vazar. Não há autorização que precise ser revogada, não há solicitação de acesso por titular que tenha conteúdo. O dado é estatístico, não pessoal. Isso reduz drasticamente a superfície de risco LGPD da empresa contratante.
Como o auditor verifica
Auditor fiscal não examina código-fonte. Ele verifica três indicadores:
- Declaração técnica da plataforma sobre arquitetura de anonimato (com referência verificável)
- Taxa de adesão do diagnóstico — padrão internacional é >70% nas duas primeiras semanas, sinal de confiança
- Política de privacidade com descrição técnica, não apenas declarativa
Plataformas com anonimato declarativo passam mal no primeiro indicador. Plataformas com anonimato técnico real passam nos três.
O que sua empresa pode mostrar internamente
Para o trabalhador responder com confiança, o RH precisa comunicar três pontos:
- O sistema usado é externo à empresa (não pertence ao RH)
- A arquitetura é técnica — não há como reconstruir respostas individualmente
- Os resultados serão apresentados apenas em forma agregada, com mínimo de 5 respondentes por recorte
Empresas que comunicam isso explicitamente alcançam adesão acima de 70% nas duas primeiras semanas. Empresas que apenas dizem "é anônimo" tipicamente ficam abaixo de 40%.