Como o Sonar protege o anonimato

O Sonar trata anonimato como uma propriedade da arquitetura, não como uma promessa de marketing. Em vez de pedir que você confie, o código é aberto: qualquer pessoa pode ler o schema do banco e os endpoints e conferir que o sistema é honesto. Por isso falamos em anonimato auditável — com escopo claro, incluindo os limites.

O que acontece quando você responde

  1. Nenhum vínculo é gravado entre você e suas respostas. A tabela de respostas guarda quem foi avaliado, o papel do respondente (par, líder, gestor…) e as notas — mas não guarda o seu identificador. O schema simplesmente não tem essa coluna.
  2. Suas respostas passam por uma área temporária. Ao enviar, elas entram num buffer e ficam separadas do registro definitivo até o processamento.
  3. Um processo diário embaralha e agrega. Uma vez por dia, o sistema embaralha as respostas em buffer, agrupa as classes com poucos respondentes e grava tudo em lote — sem horário preciso, só a data. Isso elimina a ordem de envio e o instante como pistas de identificação.

Por que não dá para salvar e continuar depois

Justamente porque não associamos a sua conta às respostas. Salvar um rascunho exigiria gravar “estas respostas parciais são do fulano” — exatamente o vínculo que a arquitetura evita. Então a avaliação é respondida em uma única sessão: se você fechar o navegador antes de enviar, o progresso é perdido e você precisará responder de novo.

O que isso protege — e os limites honestos

O modelo mitiga as pistas mais comuns de reidentificação: o vínculo direto (não existe no banco), a ordem de submissão e o horário (o embaralhamento diário remove ambos), e o tamanho pequeno de grupos (classes com poucos respondentes são agrupadas no relatório).

O que ele não resolve sozinho: o estilo de escrita em comentários de texto. Frases muito específicas podem identificar quem escreveu — por isso comentários são opcionais por padrão, e há uma página dedicada ao risco de comentários. Anonimato absoluto não existe quando há texto livre; o que existe é um sistema desenhado para reduzir o risco e ser auditável.

Por que isso é confiável

Anonimato técnico absoluto não existe quando uma única entidade controla a infraestrutura. O que torna o Sonar diferente são duas camadas: o código aberto (auditável por qualquer cético — colaborador, cliente ou jornalista) e o modelo de operador: a plataforma é operada pela Serraggio como terceira parte, sob contrato com cláusula que pune financeiramente qualquer pedido de quebra de anonimato. Produto auditável + contrato — não uma promessa isolada.