Vinícius Bechtlufft Rezende*
A regulamentação em diversos países do tratamento de dados pessoais estabeleceu limites legais e colocou um freio nos abusos cometidos pelas denominadas “Big Techs”.
Mas, até agora, essa foi a parte mais visível dessa transformação na rotina do usuário que utiliza redes sociais, aplicativos de smartphones, serviços em sites de empresas e do Governo.
Após a vigência da LGPD, o ambiente corporativo também precisou se adequar.
Um dos setores diretamente afetados por essa transformação na forma de processar os dados pessoais foi o Compliance, que, dentre suas atividades principais, está a responsabilidade por apurar atos de corrupção e os comportamentos abusivos (inadequados, assédio moral e sexual).
Como a empresa deve proceder em suas investigações internas no uso dos dados pessoais da pessoa colaboradora, que poderão ser utilizadas para aplicar sanções disciplinares, e ainda estar em conformidade com a LGPD?
Com o advento da legislação de proteção de dados pessoais, a investigação interna ficou proibida?
Como resolver esse conflito aparente de normas?
– Base Legal da Investigações Internas
Como toda utilização de dados pessoais em qualquer situação, é preciso fundamentar o tratamento das informações da pessoa colaboradora para fins de apuração interna pelo Compliance com fulcro na base legal adequada.
Essa conduta evita a abertura de processo administrativo pela ANPD em virtude de possível violação à LGPD e eventuais multas, bem como do Ministério Público do Trabalho.
– Qual a base legal aplicável na hipótese?
Quando a empresa não tiver um programa de integridade corporativa (Compliance), o procedimento de investigação poderá ser fundamentado na obrigação legal, ou seja, quando se tratar de um setor regulado (contratos públicos, por exemplo).
Nesse caso, a base legal mais apropriada para fazer o tratamento desses dados será o ˜cumprimento de obrigação legal˜ (inciso II, do artigo 7º).
– E Quando houver um Programa de Integridade?
Nesse caso teremos duas opções. Vejamos.
O tratamento poderá ser feito com base no legítimo interesse ou também com fulcro no “cumprimento de obrigação legal” (em última análise, a empresa também não quer violar a legislação). Esta última é menos recomendada.
Ao utilizar o “cumprimento de obrigação legal”, a finalidade será evitar que a corporação viole a legislação (em sentido amplo), por exemplo, lavagem de dinheiro, que é considerada crime pelo Código Penal.
Entretanto, a base legal mais recomendada, quando não há uma lei exigindo medidas anticorrupção, ou seja, quando se tratar de aplicação do Programa de Integridade, será o legítimo interesse, para fins de resguardar a atividade negocial e evitar práticas ilegais, que possam comprometer a imagem (honra objetiva) perante parceiros comerciais e o mercado, ao mesmo tempo que atua em conformidade com a LGPD.
Legítimo interesse
O Controlador, ao escolher o legítimo interesse, não pode deixar de observar os seus requisitos previstos no artigo 10 e seus parágrafos, da LGPD (LIA). A saber:
“Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a:
I – apoio e promoção de atividades do controlador; e
II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.
§ 1º Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados.
§ 2º O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse.
§ 3º A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
Com relação à necessidade de elaborar o relatório de impacto (RIPD), existem duas linhas de entendimento.
Alguns especialistas mais conservadores entendem que sempre deve ser feito, quando o legítimo interesse for a base legal. Outros entendem que somente quando representar um risco provável de causar um dano relevante aos envolvidos no tratamento de dados é que deve ser feito (liberdades civis e/ou direitos fundamentais).
-Conclusão
É a Política de Segurança da Informação juntamente com o Código de Ética que vão legitimar a atuação do Compliance nas investigações internas, pois garantirá transparência, informação e previsão ao titular objeto da apuração interna.
Evidente que o direito à informação do titular de dados que está sendo investigado por ato abusivo ficará mitigado, ao menos, durante o período em que estiverem sendo apurados os fatos, sob pena do procedimento ser inócuo.
Por outro lado, essa mitigação não será considerada pela Autoridade Nacional de Proteção de Dados (ANPD) uma violação à LGPD, desde que esteja previsto no Código de Ética.
Além disso, os dados compartilhados com o Compliance deverão ser somente os estritamente necessários para a finalidade pretendida.
Dessa forma, a legalidade do procedimento estará garantida e em conformidade com a LGPD, bem como resguardado o direito da pessoa colaboradora.
-Referências
- OLIVEIRA BATISTA BAESSO, Quetilin de. “Compliance e Investigações Internas”. Florianópolis. Editora Habitus, 2022, 2ª Edição.
- CRISTINA BARILLARI, Cláudia. “Crime Empresarial, Autorregulação e Compliance”. Rio de Janeiro. Editora Revista dos Tribunais, 2022, 2ª Edição.
Leia outros artigos do autor:
A Regulamentação dos “Dados Públicos”, segundo a LGPD
A Coleta de Dados “Online” e Uso de Dados de Saúde
A Proteção de Dados Pessoais sob a Ótica da Responsabilidade Civil Ativa
Vinícius Bechtlufft Rezende: Advogado especializado em Direito Digital e Encarregado de Dados Pessoais com certificação CDPO/BR (LGPD + CIPM) pelo IAPP, GDPR pela University of Groningen; Cibersegurança pela CISCO Networking Academy, Compliance pela FGV e docente convidado na área de proteção de dados pessoais pela UNIFEI/MG.
