O TRATAMENTO DE DADOS PESSOAIS NA CONDUÇÃO DE INVESTIGAÇÕES INTERNAS SOB À LUZ DA LGPD
Por Heitor Magagnin Brincas
Introdução
Recentemente, publicamos um artigo que buscou avaliar quais seriam as bases legais adequadas para o tratamento de dados pessoais em investigações internas corporativas, de acordo com a Lei 13.709/2019, também conhecida como Lei Geral de Proteção de Dados Pessoais (LGPD).
Neste artigo, daremos continuidade ao estudo e abordaremos como se dá o tratamento de dados pessoais nas investigações internas que se originem, especialmente, de denúncias advindas dos canais de denúncia da organização, abordando-se a mesma referencia legislativa.
Desenvolvimento
Para que a investigação interna se origine, é necessário que a denúncia seja recebida e processada de modo adequado.
Por exemplo, no caso de denúncias por telefone, o atendente deve estar capacitado para conduzir o denunciante a preencher um roteiro que satisfaça os requisitos de verossimilhança e qualidade das informações da denúncia (CARVALHO et.al, 2021)[1].
Após o recebimento da denúncia, é realizado o registro da mesma, de acordo com o procedimento estabelecido por cada organização. Caso se identifiquem indícios mínimos de veracidade, ou ainda, dados, informações ou evidências críveis que viabilizem uma investigação, em regra geral, inicia-se o processo de apuração.
É nesse contexto que se faz importante entender como se dá o tratamento de dados pessoais.
Muitas vezes, as denúncias envolvem questões de alta complexidade e um grande volume de dados, que exigirão a contratação de empresas e/ou escritório de advocacia experientes em processar e revisar tais questões complexas[2].
A fim de resguardar a organização que conduz a denúncia, caso haja o compartilhamento de dados pessoais a parceiros de negócios, é importante que tais parceiros tenham seus contratos adequados, com cláusulas de proteção e privacidade de dados, prevendo seus principais deveres e responsabilidades como agentes de tratamentos de dados, dentre outros aspectos relevantes para a conformidade com a LGPD, além de um robusto contrato de confidencialidade. Em situações específicas, recomenda-se, ainda, que o terceiro seja diligenciado, no intuito de avaliar se efetivamente trata dados em conformidade com a legislação aplicável e cumpre satisfatoriamente os deveres clausulares relacionados à proteção e privacidade de dados pessoais.
Outro ponto importante, além das preocupações relacionadas ao compartilhamento de dados pessoais, é o relatório de investigação interna, o qual explicitará o alcance da investigação, a finalidade, os procedimentos adotados, a colheita de documentos, evidências e, por fim, o parecer da instância responsável pelo compliance e as recomendações para o tratamento dos riscos identificados à direção da organização.
Normalmente, as investigações internas podem envolver dados de calendário, contatos e lista de tarefas, telefones celulares, mensagens de texto, mensagens de voz, drives corporativos, thumb drives, hard drives, redes sociais, dentre outros.
No tocante ao manuseio de dados pessoais no processo de investigação interna, é importante esclarecer que, o processo de investigação acontece em um ambiente controlado.
O próprio relatório de investigação interna é classificado como sigiloso e confidencial e, o acesso ao conteúdo do relatório é restrito aos membros da instância responsável pelo compliance (como o Comitê de Compliance ou Compliance Officer) e integrantes da alta direção da organização.
Portanto, os dados pessoais manuseados estão, teoricamente, num ambiente seguro e de acesso restrito, o que corrobora com a segurança dos dados pessoais tratados.
A escolha a respeito do uso de uma determinada base legal, como já mencionado no post anterior[3], dependerá essencialmente das atividades realizadas pelo controlador de dados pessoais. Portanto, não há que se falar em base legal melhor ou pior, a análise correta deve ser feita frente ao caso concreto e, no caso das investigações internas, o legítimo interesse prevalece como base legal mais adequada, ainda que outras possam ser aplicáveis a depender da situação específica.
Por isso, a organização deve fundamentar o tratamento de dados pessoais dos titulares envolvidos no processo de investigação interna no art. 7º, IX da LGPD[4]. O legítimo interesse permite uma flexibilidade pertinente em um cenário de uso intensivo de dados pessoais, principalmente sob a lógica das investigações internas. Em geral, seria contraproducente e inviável recorrer a todo o momento ao consentimento para legitimar o tratamento de dados pessoais (BIONI, 2019)[5]. Assim, cabe à organização que realiza o tratamento de dados a capacidade de demonstrar que estava legítima (PINHEIRO, 2018)[6].
Essa hipótese de tratamento é uma previsão geral e subsidiária, a qual necessita de prévia e expressa motivação pelo controlador da finalidade e necessidade do tratamento.
Deste modo, é necessário seguir o estabelecido pelo art. 10º da LGPD e realizar o teste de proporcionalidade do legítimo interesse (BIONI, 2019)[7].
O legítimo interesse do controlador somente poderá fundamentar o tratamento de dados pessoais em investigações internas caso siga uma série de obrigações, como: a) verificação da legitimidade do interesse (art.10º, caput e inciso I, da LGPD)[8]; b) necessidade: minimização e outras bases legais (art. 10º, § 1º, da LGPD)[9]; c) balanceamento: impactos sobre o titular dos dados e legítimas expectativas (art. 10, II, da LGPD)[10]; d) adequação.
Por fim, para viabilizar o tratamento de alguns dados pessoais de colaboradores, em especial quando eles se utilizam de equipamentos pessoais para trabalho, como computadores e celulares, é importante que a organização possua uma política interna que dite sobre a renúncia ao direito de privacidade para e-mails de trabalho e privados, informações em celulares (contatos, grupos, mensagens) bem como mídias sociais quando acessadas utilizando computadores de trabalho. Tais políticas devem ser amplamente distribuídas e os funcionários da empresa devem aderir inequivocamente a elas, incluindo assinatura de documento no qual informem que receberam e entenderam o teor da política (CARVALHO et.al, 2021)[12].
Conclusão
Diante do observado, o legítimo interesse é a base legal de tratamento de dados pessoais mais adequada na condução das investigações internas, pois permite que a organização trate os dados sem obter o consentimento de nenhum dos polos da investigação, bastando que comprove que estava atuando de forma legítima, demonstrando plasticidade e adaptabilidade a variados cenários de tratamento de dados.
No entanto, a LGPD ainda necessita de regulamentação e, provavelmente, levará anos até que o alcance e a abrangência de seus dispositivos sejam compreendidos perfeitamente.
O que concluímos a respeito do tema é que, sem dúvida, há bastante espaço interpretativo e será essencial a articulação de entendimentos e conjugação de ideias, com construção sólida de parâmetros pela Autoridade Nacional de Proteção de Dados (ANPD) e também pelo Judiciário.
Caso queiram saber mais sobre o tema ou compartilhar suas experiências, entrem em contato através de nossas redes sociais.
Um abraço!
[1] CARVALHO, André et.al. (org). Manual de Compliance. 3.ed. Rio de Janeiro: Forense, 2021, p. 222.
[2] Idem, p. 245.
[3] BRINCAS, Heitor. O recebimento de denúncias de Compliance sob a égide da LGPD. Eticca Compliance, 2022. Disponível em: http://eticca.com.br/denuncias-de-compliance-sob-a-egide-da-lgpd/
[4] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses:
(…)
IX – quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais;
(…)
[5] BIONI, Bruno Ricardo. Proteção de dados pessoais: a função e os limites do consentimento. Rio de Janeiro: Forense, 2019, p.247.
[6] PINHEIRO, Patricia Peck. Proteção de dados pessoais: comentários à Lei n. 13.709/2018 (LGPD). São Paulo: Saraiva Educação, 2019, p.65.
[7] BIONI, 2019, p.247.
[8] Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador;
[9] Art.10, § 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
[10] Art.10, II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
[11] Art. 10, § 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
- 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
[12] CARVALHO et.al, 2021, p.253.