Confidencialidade em Laboratório: Política e Práticas Conforme ISO 17025

Confidencialidade em Laboratório - metrologia e calibracao em laboratorio acreditado ISO/IEC 17025

Confidencialidade em Laboratório: Política e Práticas Conforme ISO 17025

30 de junho de 20260

Cliente entrega ao laboratório um instrumento usado em processo industrial sigiloso. Os resultados da calibração podem revelar características do produto, processo de fabricação ou estratégia tecnológica desse cliente. A confidencialidade do laboratório é o que garante que essa informação ficará restrita.

Plano anual de marketing digital B2B

Plano anual de marketing digital B2B Nosso serviço de criação de Plano Anual de Marketing Digital B2B é projetado para impulsionar o crescimento e a visibilidade da sua empresa na arena digital. Com estratégias adaptadas às suas necessidades exclusivas, estamos aqui para ajudá-lo a atingir novos patamares de sucesso online.

Mais Informações

A ABNT NBR ISO/IEC 17025:2017 dedica o item 4.2 inteiramente ao tema, em quatro subitens detalhados. A norma exige compromisso institucional, mecanismos operacionais e tratamento específico de exceções legais. No contexto brasileiro, soma-se ainda a Lei Geral de Proteção de Dados (LGPD – Lei 13.709/2018) quando o laboratório trata dados pessoais.

Este guia apresenta o modelo da Cirius Quality para implementar confidencialidade conforme exigido pela ABNT NBR ISO/IEC 17025:2017, integrado às exigências da LGPD aplicaveis ao contexto laboratorial brasileiro.

TL;DR: Confidencialidade é o compromisso formal do laboratório em proteger contra divulgação não autorizada todas as informações de clientes, requisito do item 4.2 da ABNT NBR ISO/IEC 17025:2017. Exige política formal, termo de sigilo assinado por colaboradores e terceiros, controle de acesso e tratamento de exceções legais.

Conteúdo

O que é Confidencialidade? Definição Técnica Completa

Conforme a ABNT NBR ISO/IEC 17025:2017 item 4.2.1, o laboratório deve ‘ser responsável por arranjos juridicamente exigentes, conforme aplicáveis, para a gestão de informações obtidas ou criadas durante a execução de suas atividades laboratoriais’. Confidencialidade abrange não apenas resultados, mas também: identidade do cliente, descrição do item, métodos solicitados, prazos, comunicações comerciais, dados financeiros.

É crítico distinguir confidencialidade de imparcialidade. Imparcialidade trata de isenção no julgamento técnico (item 4.1). Confidencialidade trata de proteção da informação (item 4.2). São requisitos distintos com mecanismos diferentes — ambos obrigatórios, frequentemente verificados na mesma auditoria CGCRE.

Histórico e Evolução do Conceito de Confidencialidade

A exigência de confidencialidade em laboratórios remonta à ISO/IEC Guide 25 de 1990. A ISO/IEC 17025:2005 já tratava do tema, mas de forma menos específica. A edição 2017 trouxe a mudança estrutural: tornou explícito o tratamento de exceções legais e ampliou cobertura para terceiros (TI terceirizada, consultores, auditores externos).

No contexto brasileiro, a LGPD entrou em vigor em 18 de setembro de 2020 e reforçou exigências sobre dados pessoais. Laboratórios que processam informações de pessoas físicas (clientes pessoa física, colaboradores, fornecedores) precisam integrar requisitos da LGPD ao sistema de gestão conforme 17025.

Princípios Fundamentais de Confidencialidade

Compromisso formal por escrito: Política de confidencialidade aprovada pela alta direção e comunicada a todos.
Termo de sigilo individual: Cada colaborador, terceiro ou estagiário com acesso a dados de clientes deve assinar termo de confidencialidade específico.
Controle de acesso por necessidade: Princípio need-to-know: cada pessoa só tem acesso aos dados necessários para sua função.
Tratamento explicito de exceções legais: Procedimento documentado para responder a ordem judicial, requisição de regulador (ANVISA, INMETRO, IBAMA) ou autorização do cliente.
Notificação ao cliente quando legalmente possível: Quando divulgar informação do cliente por exceção legal, informar o cliente exceto quando lei impuser sigilo.

Como Implementar Confidencialidade Conforme ISO/IEC 17025:2017

A Cirius Quality recomenda o seguinte protocolo, integrado com exigências da LGPD aplicaveis:

CURSO ONLINE – GESTÃO DE PROCESSOS E QUALIDADE

CURSO ONLINE – GESTÃO DE PROCESSOS E QUALIDADE Torne-se um especialista em Gestão de Processos e Qualidade! Curso online completo para profissionais da qualidade. Inscreva-se agora e turbine sua carreira!

Mais Informações

1. Elaborar política formal: Documento aprovado pela alta direção cobrindo: compromissos institucionais, mecanismos operacionais, tratamento de exceções, violação e disciplina, revisão periodica.
2. Preparar termo de sigilo padrão: Texto-base assinado por: todos os colaboradores na contratação; terceiros prestadores (TI, limpeza, consultores); estagiários; visitantes em áreas restritas.
3. Implementar controle de acesso físico: Restrição de quem entra em laboratório, armazenamento de itens em armarios protegidos, identificação de itens com código não relacionável ao cliente.
4. Configurar controle de acesso eletrônico: Sistema com senha individual, log de acesso, criptografia para dados sensíveis, backup protegido.
5. Documentar procedimento de exceção: Fluxo claro para responder a ordem judicial, requisição de regulador ou pedido do cliente. Quem decide, quem documenta, quem notifica.
6. Treinar equipe regularmente: Sessões semestrais discutindo cenários reais e respostas adequadas. Confidencialidade não é intuitiva.
7. Revisar anualmente em análise crítica: Política e procedimentos revisados em análise crítica pela direção, atualizados em mudança regulamentar.

Confidencialidade vs Imparcialidade: Requisitos Distintos da 17025

Aspecto	Confidencialidade (item 4.2)	Imparcialidade (item 4.1)
O que protege	Informação do cliente	Decisão técnica do laboratório
Mecanismo principal	Política + termo de sigilo	Política + análise de risco
Exceções permitidas	Ordem judicial, regulador, autorização	Nenhuma (não aplicável)
Quem assina	Todos com acesso a dados	Alta direção (compromisso)
Evidência em auditoria	Termos assinados, registros de acesso	Matriz de risco, ata crítica

Caso Prático: Resposta a Ordem Judicial

Contexto

Laboratório acreditado RBC recebe ofício judicial requisitando todos os certificados de calibração emitidos para Cliente X nos últimos cinco anos, em ação civil em que Cliente X é parte.

Problema identificado

Como atender a exigência judicial sem violar deveres de confidencialidade com Cliente X? Quem decide? Como documentar?

Abordagem aplicada

Aplicação do procedimento documentado: (1) gerente técnico e responsável da qualidade recebem o ofício formalmente; (2) consulta à assessoria jurídica externa em 48h; (3) confirmação de validade judicial do pedido (juiz competente, processo identificado); (4) notificação ao Cliente X informando recebimento do ofício (não havia sigilo imposto pelo juiz); (5) entrega dos certificados solicitados ao protocolo judicial em prazo legal; (6) registro completo no sistema de gestão, incluindo ata da decisão, cópia do ofício, comprovante de notificação ao Cliente X.

Resultado obtido

Cumprimento da exigência legal sem violação de deveres com Cliente X. Documentação exemplar usada como referência em treinamento interno.

Aprendizado

Confidencialidade tem exceções legais legitimas. O que protege o laboratório é ter procedimento documentado, não se recusar a divulgar. Notificação ao cliente quando legalmente possível preserva relacionamento comercial.

Erros Comuns em Auditorias CGCRE sobre Confidencialidade

Política formal sem aplicação: Documento bonito arquivado, equipe não sabe explicar em auditoria como se aplica no dia a dia.
Termo de sigilo apenas para colaboradores: Esquecer terceiros (TI, consultores, estagiarios) com acesso a dados é brecha clássica.
Ausência de procedimento para exceções: Recebe ordem judicial e não sabe como responder. Decisão ad hoc pode violar deveres.
Controle de acesso eletrônico fraco: Senha única compartilhada, sem log individual de acesso, sem backup protegido.
Falta de integração com LGPD: Tratar confidencialidade apenas como 17025 quando há dados pessoais sujeitos à LGPD.

Confidencialidade da Origem da Informação: O Requisito do Item 4.2.3

A ABNT NBR ISO/IEC 17025:2017 dedica o item 4.2 inteiro à confidencialidade, mas o subitem 4.2.3 traz uma exigência frequentemente negligenciada: quando o laboratório obtém informações sobre o cliente de fonte diferente do próprio cliente — como um reclamante, um órgão regulador ou um terceiro —, essa informação deve ser tratada como confidencial entre o cliente e o laboratório. O provedor da informação (a fonte) deve ser mantido em sigilo perante o cliente, salvo se a própria fonte concordar com a divulgação.

Esse requisito é especialmente sensível em laboratórios que atuam em contextos regulatórios ou de fiscalização. Considere a aplicação prática:

Cenário regulatório: um órgão fiscalizador envia amostra de fiscalização ao laboratório; a identidade do denunciante, se conhecida, não pode ser revelada ao cliente investigado.
Cenário de reclamação: informações recebidas de um concorrente do cliente devem ser protegidas, evitando exposição da fonte.
Cenário legal: quando a lei obriga a divulgar informação confidencial, o item 4.2.2 exige que o cliente seja notificado da informação fornecida, salvo proibição legal.

O laboratório deve, portanto, ter procedimento que distinga a confidencialidade das informações do cliente daquela das informações sobre o cliente obtidas de terceiros. Essa dupla proteção sustenta a imparcialidade e a credibilidade do laboratório. A CGCRE verifica se a política de confidencialidade contempla expressamente o item 4.2.3, pois a falha em proteger a fonte pode configurar quebra de imparcialidade e expor o laboratório a litígios.

Acordos de Confidencialidade com Pessoal e Partes Externas (Item 4.2.4)

O item 4.2.4 da ABNT NBR ISO/IEC 17025:2017 estabelece que o pessoal, incluindo membros de comitês, contratados, pessoal de organismos externos e indivíduos que atuam em nome do laboratório, deve manter confidencial toda a informação obtida ou gerada durante a execução das atividades laboratoriais, exceto quando exigido por lei. Esse requisito amplia a confidencialidade para além do quadro de funcionários efetivos, alcançando toda a cadeia de pessoas com acesso a dados sensíveis.

Ebook – 158 Dicas Rápidas de Marketing Digital para você começar a aplicar ainda hoje

Ebook – 158 Dicas Rápidas de Marketing Digital para você começar a aplicar ainda hoje Neste guia abrangente, reunimos 158 dicas rápidas e práticas que abrangem uma ampla gama de tópicos essenciais do marketing digital. Desde a produção de conteúdo até as estratégias avançadas de análise, cada dica foi cuidadosamente elaborada para fornecer a você as ferramentas necessárias para impulsionar sua presença online e alcançar seus objetivos de negócios.

Mais Informações

Na prática, atender ao item 4.2.4 exige instrumentos formais de comprometimento. Os mecanismos mais eficazes incluem:

Termo de confidencialidade assinado por todos os colaboradores na admissão, renovado periodicamente, cobrindo dados de clientes, métodos e resultados.
Cláusulas contratuais de sigilo em contratos com terceiros, consultores e laboratórios subcontratados que acessem informações do cliente.
Acordos específicos para auditores externos, estagiários e membros de comitês técnicos que tenham contato com dados confidenciais.
Controles de acesso lógico e físico a registros e sistemas, garantindo que apenas pessoal autorizado manipule informações sensíveis.

É importante diferenciar o termo de confidencialidade do termo de imparcialidade: o primeiro protege a informação do cliente, enquanto o segundo, ligado ao item 4.1, trata da ausência de conflitos de interesse. Ambos podem coexistir em um único documento, mas devem cobrir requisitos distintos. A CGCRE costuma solicitar evidências de que subcontratados e pessoal temporário também assinaram acordos de sigilo, pois a confidencialidade falha exatamente nas pontas menos formais da organização. Documentar e arquivar esses termos demonstra controle efetivo sobre o item 4.2.

Aprofunde Seus Conhecimentos com os Guias da Cirius Quality

Para implementar os requisitos da ABNT NBR ISO/IEC 17025:2017 com profundidade e segurança técnica, a Cirius Quality desenvolveu materiais autorais com mais de 40 anos de experiência prática em metrologia e acreditação:

Guia Comentado ISO/IEC 17025:2017 – bundle completo de implementação para laboratórios de calibração e ensaio, com checklist, calculadoras e casos práticos.
Guia Comentado ISO 10012:2003 (SGM) – para a gestão dos sistemas de medição e a confirmação metrológica.

Perguntas Frequentes sobre confidencialidade em laboratório

Confidencialidade tem exceções legais legitimas?

Sim, a ABNT NBR ISO/IEC 17025:2017 reconhece três exceções centrais: ordem judicial (juiz competente em processo identificado), requisição de regulador (ANVISA, INMETRO, IBAMA, etc., em sua área de competência), e autorização explícita do cliente. Em qualquer dessas situações, o laboratório deve cumprir a exigência legal, mas deve notificar o cliente sempre que legalmente possível (algumas ordens judiciais impõem sigilo, outras não).

Devo aplicar LGPD se tenho clientes pessoa jurídica?

Sim, parcialmente. A LGPD aplica-se a dados pessoais, não a dados de empresas. Mas mesmo em laboratório com clientes exclusivamente PJ, há dados pessoais: nomes de pessoas de contato dos clientes, colaboradores do próprio laboratório, fornecedores. A política de confidencialidade da ISO 17025 deve cobrir também esses dados.

Como armazenar dados confidenciais por tempo prolongado?

Norma 17025 exige retenção mínima de registros técnicos (tipicamente 5 anos). Para confidencialidade durante esse período: armazenamento físico em armário com chave; eletrônico com criptografia e backup protegido; acesso restrito por necessidade documentada. Ao final do prazo, descarte controlado — trituração física para papel, deleção seguranca para eletrônico.

Posso comunicar resultado de cliente A para cliente B?

Não sem autorização explícita de A. Mesmo informação aparentemente neutra como ‘temos cliente A no mesmo setor’ pode violar confidencialidade. A regra simples: nenhuma informação sobre cliente A pode ser compartilhada com cliente B sem autorização documentada de A.

E quando consultor externo precisa de acesso aos dados?

Consultor externo (auditor de pré-acreditação, especialista contratado para resolver problema específico) deve assinar termo de confidencialidade específico antes de qualquer acesso. O termo deve ser más restritivo que o de colaborador, pois consultor não tem vínculo trabalhista. Em violação, responsabilidade civil clara.

CURSO ONLINE DE CEP ( CONTROLE ESTATÍSTICO DE PROCESSO )

CURSO ONLINE DE CEP ( CONTROLE ESTATÍSTICO DE PROCESSO ) Torne-se um especialista em CEP ( Controle Estatístico de Processo )! Aprenda as técnicas avançadas de Controle Estatístico de Processo e se destaque no mercado de qualidade. Inscreva-se já!

Mais Informações

Aprenda Mais com os Cursos Online da Cirius Quality

Para se aprofundar nos temas tratados neste artigo, a Cirius Quality oferece cursos online especializados que detalham metodologias, cálculos e aplicações práticas no contexto da ABNT NBR ISO/IEC 17025:2017:

Cada curso é conduzido por especialistas com mais de 20 anos de experiência em laboratórios brasileiros, com material didático atualizado em 2026 conforme a versão vigente das normas.

Conclusão

Confidencialidade em laboratórios brasileiros acreditados é requisito normativo e diferencial competitivo. Implementar política formal integrada com LGPD, termo de sigilo para colaboradores e terceiros, controle de acesso baseado em necessidade e procedimento explicito para exceções legais é investimento que protege o laboratório, o cliente e a credibilidade da Cirius Quality e da Rede Brasileira de Calibração. Em auditorias CGCRE, confidencialidade bem implementada raramente gera constatações; mal implementada, é problema recorrente.

Termos relacionados a este artigo no Glossário Cirius Quality: Imparcialidade, Política da qualidade, Sistema de gestão.

Cookie	Duração	Descrição
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Metrologia, Qualidade