As investigações coorporativas e a proteção de dados pessoais

As empresas têm o dever de prevenir, detectar e apurar qualquer atividade ou processo que não esteja de acordo com as suas políticas internas e determinações legais, combatendo, assim, fraudes, corrupção ou até mesmo condutas antiéticas de sua equipe. Nesse contexto, visando mitigar riscos, entram em cena os mecanismos de investigações corporativas.

As investigações corporativas internas podem começar de diferentes maneiras, sendo os meios mais populares:  o canal de denúncia e as auditorias internas.

Inicialmente, um ponto de atenção a se considerar é o dever de manter sigilo sobre o levantamento primário a fim de apurar os fatos denunciados e obter a respectiva documentação probatória. Neste momento, o acesso a informações, incluindo Dados Pessoais, deve estar restrito, aos gestores desse processo. Finda a fase inicial, tanto investigados como outras partes envolvidas poderão ser informadas e trazidas ao processo.

Após a entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), a questão do tratamento de Dados Pessoais passou a ser objeto de discussão. Como a transparência é um dos princípios norteadores da LGPD, como tratar os dados pessoais em procedimentos de investigações corporativas sem comprometer o sigilo das apurações?

Considerando a natureza das investigações e as potenciais consequências danosas à empresa e à sociedade por eventual desconformidade jurídica, incluindo atos de corrupção realizados um de seus prepostos, manter o sigilo sobre os fatos é essencial para não colocar em risco todo o processo investigatório, ainda que o Titular tenha solicitado informações sobre o tratamento de seus Dados Pessoais.

Assim, passemos a entender as exigências legais.

A LGPD, em seu artigo 4º, traz uma suposta vedação em realizar investigações preliminares às empresas, permitindo somente aquelas feitas pelo Poder Público.

No entanto, há que se considerar a obrigação legal da empresa em agir em cumprimento à Lei Anticorrupção, pois se assim não o fizer poderá ser responsabilizada administrativa e civilmente.

Em seu art. 7º, a Lei Anticorrupção indica quais serão os pontos de análise para aplicação de eventual sanção.  A "cooperação da pessoa jurídica para a apuração das infrações" e "a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica" são dois deles.

Já a Lei do Combate à Lavagem de Dinheiro em seus arts. 9º. e 10, dentre outros, também traz a necessidade de criar mecanismos internos para controle do caminho do dinheiro.

Considerando o Direito Comparado, é importante a análise do Regulamento Europeu de Proteção de Dados (GDPR) sobre o tema. O GDPR consolida o entendimento de que investigações corporativas entram no escopo da finalidade de interesse legítimo dos empregadores, desde que o tratamento dos Dados Pessoais do investigado seja apenas para satisfazer a essa necessidade e respeite os princípios do Regulamento.

Portanto, de acordo com a interpretação doutrinaria e o entendimento europeu sobre o tema, não há restrição para o tratamento sigiloso de Dados Pessoais em procedimentos investigação interna corporativa. Mas, há a necessidade de determinar a finalidade e base legal adequada para fundamentar o  referido tratamento.

A respeito da base legal de tratamento nos casos do canal de denúncia e investigações corporativas pode-se concluir que a LGPD traz como base mais adequada o cumprimento de obrigação legal ou regulatória pelo controlador.

É imprescindível informar referida finalidade de tratamento aos colaboradores e demais partes relacionadas, seja pela publicação de políticas de tratamento de Dados Pessoais, seja por meio de Termo de Ciência. Diante desse cenário, recomenda-se ao Controlador de dados:

1. Utilizar somente os dados estritamente necessário para a investigação;
2. Adotar medidas para garantir a transparência em relação ao titular dos dados, sem que comprometa o necessário sigilo do procedimento investigatório, em atenção ao Princípio da razoabilidade;
3. Incluir o Canal de Denúncias em seu mapeamento de fluxos de tratamento de Dados Pessoais e no Relatório de Impacto à Proteção de Dados Pessoais;
4. Possuir o registro das operações de tratamento de Dados Pessoais que realizarem, conforme art. 37 da LGPD;
5. Cumprir todas as boas condutas trazidas pelos Princípios Fundamentais da LGPD a fim de mitigar riscos.

Dessa forma, ressalta-se a importância dos princípios da proteção de Dados Pessoais, mas errado seria dizer que se aplicam indiscriminadamente a todos os fluxos de tratamento de dados, independentemente da situação. É necessário ponderar as obrigações legais da empresa, como organização que poderá ser responsabilizada por atos daqueles que lhe representam.