O recebimento de denúncias de Compliance sob a égide da LGPD
Por Heitor Magagnin Brincas
Introdução
Um dos principais elementos de um Programa de Integridade (ou Compliance) são os canais de denúncias (CARVALHO et.al, 2021)[1].
O canal de denúncias, por sua vez, é uma das ferramentas detectivas do referido programa (ou sistema). Trata-se do meio pelo qual, por exemplo, os clientes, colaboradores, prestadores de serviço, parceiros de negócios e fornecedores podem comunicar preocupações ou violações de compliance.
Com isso, tanto no processo de recebimento, quanto no processo de apuração das denúncias, pode ocorrer o tratamento de dados pessoais , seja do denunciante, denunciado ou de eventuais terceiros. Neste artigo, veremos quais são as bases legais da legislação aplicável (Lei Geral de Proteção de Dados Pessoais – LGPD), que autorizam o tratamento de dados pessoais decorrente da utilização dos canais de denúncias da organização.
Desenvolvimento
A princípio, a organização deve avaliar, considerando sua estrutura e contexto, qual o melhor modelo a ser adotado para o recebimento das denúncias, se via telefone, e-mail corporativo específico, formulários eletrônicos, dentre outros, não sendo tais canais excludentes, mas sim complementares.
É comum que o denunciante se identifique e, portanto, informe seu telefone, e-mail, nome completo, RG e CPF, dentre outros dados pessoais. Ainda, é normal que no próprio bojo da denúncia se faça referência a dados pessoais de outras relacionadas.
Em resumo, a LGPD prevê a obtenção do consentimento da pessoa natural como a principal base legal autorizadora para o tratamento de dados pessoais (art. 7º, I[2]). É entendido que as demais hipóteses trazidas pelo artigo 7º da LGPD são exceções à regra do consentimento, já que abarcam a dispensa do consentimento por parte do titular de dados Pessoais (BIONI, 2019[3]).
No recebimento e apuração das denúncias recebidas pelos canais de denúncias, é aplicável a regra geral – obtenção do consentimento. Em conjunto com a regra geral, a organização está protegida por duas regras de exceção: a) para o cumprimento de obrigação legal ou regulatória pelo controlador (art. 7º, II[4]); b) quando necessário para atender aos interesses legítimos do controlador ou de terceiros, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais (art. 7º, IX[5]).
Importante destacar que, é possível ao controlador de dados pessoais fundamentar o tratamento em mais de uma base legal, portanto, é possível cumular as hipóteses legais trazidas pelo art. 7º da LGPD.
- Regra geral (Art. 7º, I):
A fim de ilustrar, imagine, ilustre leitor, que você sofreu assédio moral enquanto estava trabalhando e, por isso, pretendeu realizar uma denúncia via formulário web para que a empresa tomasse conhecimento. Neste caso, você preencheu o formulário web e decidiu se identificar, colocando seus dados pessoais por livre e espontânea vontade, sabendo que os dados seriam utilizados para o tratamento de sua denúncia.
No caso em tela, o denunciante (titular dos dados pessoais) expressamente forneceu o consentimento para dar andamento ao processo de apuração da denúncia. O consentimento concedido pelo denunciante, ao preencher o formulário, cumpre com o disposto no art. 5º XII[6], ou seja, a manifestação de sua vontade é livre e inequívoca – o denunciante por livre espontânea vontade realiza a denúncia – e a finalidade do tratamento dos dados pessoais é específica a apuração da denúncia.
- Hipóteses de exceção ao consentimento
Art. 7º, II – para o cumprimento de obrigação legal ou regulatória pelo controlador
O canal de denúncia deriva tanto de uma obrigação regulatória como de uma decisão da governança da organização. São diversas as leis que disciplinam acerca dos canais de denúncia. A Lei Anticorrupção, pelas disposições de seu regulamento, Decreto nº 11.129/2022, estabelece os “canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e mecanismos destinados ao tratamento das denúncias e à proteção de denunciantes de boa-fé” como elementos integrantes dos programas de integridade das organizações (art.57, X do referido decreto[7]).
Em resumo, o tratamento de dados pessoais, na apuração e recebimento de denúncias, é permitido e exigido por diversas legislações[8], como também pela Lei Federal nº 13.303/2016 (art. 9º, § 1º, III[9]) e pela as diretrizes práticas do Tribunal de Contas da União – TCU[10].
Art. 7º, IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais
A organização pode valer-se desta hipótese para o tratamento de dados, no entanto, o legítimo interesse deverá ser baseado nos ditames do art. 10º da LGPD, assim, a organização deverá realizar avaliação do interesse legítimo, descrevendo as razões desse interesse na atividade de tratamento.
Conclusão
Pelo exposto, é cristalino que o denunciante expressamente dá seu consentimento para que a organização trate os seus dados pessoais no recebimento e apuração de sua denúncia. Em relação às outras partes envolvidas – como por exemplo o denunciado e terceiros envolvidos -, o tratamento de dados fica subordinado às hipóteses de exceção comentadas. Ademais, é impreterível o respeito à nova lei, ou seja, ao tratar os dados, é necessário seguir pela boa-fé e demais princípios previstos no art. 6º da LGPD[11].
Caso queiram saber mais sobre o tema ou compartilhar suas experiências, entrem em contato através de nossas redes sociais.
Um abraço!
[1] CARVALHO, André et.al. (org). Manual de Compliance. 3.ed. Rio de Janeiro: Forense, 2021.
[2] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
I – mediante o fornecimento de consentimento pelo titular;
(…)
[3] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019.
[4] Art. 7º II – para o cumprimento de obrigação legal ou regulatória pelo controlador;
[5] Art. 7º IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
[6] Art. 5º Para os fins desta Lei, considera-se:
(…)
XII – consentimento: manifestação livre, informada e inequívoca pela qual o titular concorda com o tratamento de seus dados pessoais para uma finalidade determinada;
[7] Art. 57. Para fins do disposto no inciso VIII do caput do art. 7º da Lei nº 12.846, de 2013, o programa de integridade será avaliado, quanto a sua existência e aplicação, de acordo com os seguintes parâmetros:
(…)
X – canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e mecanismos destinados ao tratamento das denúncias e à proteção de denunciantes de boa-fé;
[8] Incluindo recomendações, normas e leis.
[9] Art. 9º A empresa pública e a sociedade de economia mista adotarão regras de estruturas e práticas de gestão de riscos e controle interno que abranjam:
(…)
- 1º Deverá ser elaborado e divulgado Código de Conduta e Integridade, que disponha sobre:
(…)
III – canal de denúncias que possibilite o recebimento de denúncias internas e externas relativas ao descumprimento do Código de Conduta e Integridade e das demais normas internas de ética e obrigacionais;
[10] TRIBUNAL DE CONTAS DA UNIÃO. Referencial de combate a fraude e corrupção, 2017. P. 56 e 57.
[11] Art. 6º As atividades de tratamento de dados pessoais deverão observar a boa-fé e os seguintes princípios:
(…)