Após um longo caminho percorrido,[1] a Lei nº 13.709/18, Lei Geral de Proteção de Dados Pessoais ou, simplesmente, LGPD, como é popularmente conhecida, entrou em vigor no ordenamento jurídico brasileiro.[2] Sua aprovação representa uma mudança paradigmática na lógica de proteção de dados pessoais no Brasil, com a principal finalidade de conferir ampla proteção à autodeterminação informacional do indivíduo, revestindo de segurança e previsibilidade o tratamento conferido aos seus dados.[3]
Os agentes de tratamento de dados[4] – de ambas as esferas, pública e privada – se mobilizaram então para cumprir as novas disposições legais, principalmente enquanto as sanções previstas em caso de descumprimento ainda estão sob o regime da vacatio legis.[5] Nesse contexto, profissionais das áreas de compliance, mais precisamente os responsáveis pela condução das chamadas “investigações corporativas internas” temem que seu âmbito de atuação profissional fique de certa forma “tolhido” pelo poder de enforcement de direitos e princípios próprios da LGPD, a saber, o direito de acesso, explicação, retificação, eliminação e explicação de dados coletados, bem como os princípios da transparência, segurança e accountability.
De fato, é da essência da atividade de investigação, a realização de extensa análise e coleta de dados pela entidade privada em diversas frentes, como e-mails corporativos, background check, análise documental, avaliação do estilo de vida do investigado, entrevistas exploratórias e/ou confirmatórias, entre outros, podendo até mesmo, no decurso da perquirição, serem coletados dados sensíveis.[6] A depender da interpretação que se dê à lei, pode-se chegar à conclusão de que a LGPD criou entraves à condução de investigações internas promovidas pelas organizações. Isso porque o § 2º do art. 4º da lei dispõe que “é vedado o tratamento dos dados a que se refere o inciso III do caput (tratamento de dados para fins de segurança pública, defesa nacional, segurança do Estado ou atividades de investigação e repressão de infrações penais) por pessoa de direito privado, exceto em procedimentos sob tutela de pessoa jurídica de direito público”.
Contudo, tal intepretação seria inadequada, por dois motivos. Por um lado, porque atualmente existem inúmeras entidades privadas, sérias e responsáveis, que fornecem serviços investigativos coletando dados e informações pessoais dentro de seus clientes ou disponíveis publicamente, com o objetivo de prevenir, mitigar ou solucionar condutas incompatíveis e/ou ilícitas praticadas por membros de uma organização. Por outro lado, pelo fato de que, em determinadas situações, essa atuação decorre, inclusive, de imposição legal.[7]
Além disso, há alguns entendimentos previstos no Regulamento Europeu de Proteção de Dados Pessoais sobre o tema “investigações corporativas x tratamento de dados pessoais”. O Article 29 WP, em sua Opinion 2/2017,[8] tem entendimentos consolidados sobre as investigações corporativas no ambiente de trabalho, dispondo que o interesse legítimo dos empregadores pode ser invocado como fundamento legal para esse tipo de tratamento, desde que, entre outros requisitos, o tratamento seja estritamente necessário para uma finalidade legítima e respeite os princípios da proporcionalidade e da subsidiariedade.[9] Nessa mesma linha, destaca-se o considerando 47[10] do Regulamento Geral sobre Proteção de Dados Europeu (GDPR), o qual dispõe expressamente que “o tratamento de dados pessoais estritamente necessário aos objetivos de prevenção e controle da fraude constitui igualmente um interesse legítimo do responsável pelo seu tratamento”.
Verifica-se que, de acordo com os entendimentos europeus sobre a questão, não há que se falar em proibição de tratamento de dados para fins de investigação corporativa. O que se discute por lá é a forma como esses dados são tratados dentro da organização e em que base legal tal tratamento deve ser fundamentado.
Considerando assim a notável influência que o GDPR exerce sobre a lei brasileira de proteção de dados,[11] nada permite dizer que as investigações corporativas internas não podem mais ser conduzidas por pessoas jurídicas de direito privado, em obediência ao art. 4º, § 2º acima descrito. Em contrapartida, é indiscutível que tais atividades devem respeito à nova lei.
Desse modo, o trabalho do investigador corporativo, especificamente quanto à LGPD, deve ser exercido observando-se a boa-fé e, acima de tudo, os princípios determinados pela lei, como o da transparência, necessidade, prevenção e segurança.
Além disso, a depender do tipo de investigação, é necessário escolher a base legal mais apropriada para o tratamento. Na maioria dos casos, será a prevista no inciso IX do art. 7º – “legítimo interesse”. Mas é possível vislumbrar outras hipóteses, como uma investigação com base em uma acusação de cometimento de assédio sexual, feita pelo canal de denúncias da entidade. Nesse caso, o fundamento legal previsto no inciso VII do art. 7º, “para a proteção da vida ou da incolumidade física do titular ou de terceiros”, poderia ser perfeitamente invocado.
Outro exemplo é o tratamento de dados necessário para o cumprimento de obrigação legal ou regulatória pelo controlador, conforme mencionado anteriormente. Até mesmo dados sensíveis poderiam ser tratados no âmbito de uma investigação corporativa, como no caso de uma apuração iniciada com base na suspeita de apresentação de laudo médico falso por empregado para se ausentar do trabalho. Seja qual for a base legal utilizada, porém, é de suma importância ter documentados todos os registros de tratamento de dados utilizados durante a investigação por meio da elaboração de um relatório de impacto à proteção de dados pessoais (RIPD).[12] O RIPD tem como objetivo mitigar riscos às liberdades civis e aos direitos fundamentais do investigado e deverá conter, no mínimo, a descrição dos tipos de dados coletados, a metodologia utilizada para a coleta e para a garantia da segurança das informações e a análise do controlador com relação a medidas, salvaguardas e mecanismos de mitigação de risco adotados.[13][14]
Outro ponto relevante é a constatação de que fraudes corporativas, em algum momento, são cometidas no ambiente digital da organização. Dessa forma, é imprescindível que alguns cuidados técnicos sejam utilizados para preservar os rastros e a integridade dos dados extraídos do ambiente digital, a fim de que o resultado das investigações não seja questionado na Justiça.[15]
Com efeito, durante o processo de investigações corporativas internas, diversos dados pessoais podem ser acessados e analisados pela pessoa jurídica, em aparente conflito com o disposto no § 2º do art. 4º da LGPD. Contudo, investigar infrações éticas e atos ilegais revela-se não somente um dever de compliance da organização, mas também um interesse legítimo em detectar e interromper condutas ilegais por parte dos agentes envolvidos. O objetivo é permitir eventual recuperação de danos e prejuízos causados à organização e mitigar riscos de responsabilidade nas esferas criminal, trabalhista, concorrencial, societária, entre outras.
Em resumo, a entrada em vigor da LGPD pareceu, à primeira vista, ter criado limitações substanciais às investigações corporativas internas. A bem da verdade, contudo, a lei não trouxe limitações, mas sim parâmetros normativos capazes de dar legitimidade à condução dessas atividades. Princípios, como o da transparência, garantem ao investigado, informações claras e precisas acerca dos dados que estão sendo tratados no curso da investigação. Contudo, sem dúvida de que o fornecimento e concessão de acesso a essas informações e dados podem ser adiados, se, e enquanto tal for necessário e proporcional para evitar prejuízo para as investigações.
Em suma, é tudo uma questão de adequação e adaptação à nova realidade. Diante disso, a adoção de mecanismos de boas práticas e governança por parte das organizações é crucial para se evitar os riscos decorrentes do tratamento massivo de dados realizado no decorrer do procedimento investigatório corporativo.
[1] O processo público e legislativo começou em 2010, com a abertura de uma consulta pública sobre o tema, promovida pelo Ministério da Justiça, que resultou, posteriormente, na propositura do PL 5.276/16, anexado ao PL 4.060/12, à Câmara dos Deputados.
[2] A LGPD entrou em vigor em 18 de setembro de 2020, 24 meses após a data de sua publicação (art. 65, conforme alterado pela Lei nº 13.853/19).
[3] BIONI, Bruno et al (Coords.) Tratado de Proteção de Dados Pessoais, Rio de Janeiro: Forense, 2021. Ver pg.327.
[4] De acordo com a lei, agentes são o (i) controlador: autoridade competente responsável pelas decisões referentes ao tratamento de dados pessoais; e o (ii) operador: pessoa natural ou jurídica, de direito público ou privado, que realiza o tratamento de dados pessoais em nome do controlador; (art. 5º, incisos VI, VII e IX).
[5] A data marcada para o início da aplicação das sanções previstas na lei para as empresas que desrespeitarem as regras — que vão de advertência a multa de até R$ 50 milhões — continua a mesma do texto original da LGPD: agosto de 2021.
[6] “Art. 5º Para os fins desta Lei, considera-se:
[...]
II - dado pessoal sensível: dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural;”
[7] Como exemplo, podemos citar as disposições contidas no art. 7º, inciso VIII, da Lei nº 12.846/13 (Lei Anticorrupção) e no art. 10º da Lei nº 9.613/98 (Lei contra lavagem de dinheiro).
[8] Data Protection Working Party é um órgão consultivo constituído por um representante da autoridade de proteção de dados de cada estado-membro da União Europeia, da Autoridade Europeia para a Proteção de Dados e da Comissão Europeia.
[9] Disponível em: https://ec.europa.eu/newsroom/article29/item-detail.cfm?item_id=610169
[10] Disponível em: https://gdpr-text.com/read/recital-47/
[11] A influência do GDPR sobre a LGPD é evidente. Ambos os diplomas convergem na limitação de tratamento de dados a hipóteses restritas, na positivação dos direitos de titulares de dados à anonimização e eliminação de seus dados e no enquadramento legal estrito das possibilidades de tratamento.
[12] De acordo com o art.5º XVII da LGPD, relatório de impacto à proteção de dados pessoais é a “documentação do controlador que contém a descrição dos processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como medidas, salvaguardas e mecanismos de mitigação de risco.
[13] Art. 38, parágrafo único, da LGPD.
[14] No GDPR, os elementos mínimos obrigatórios, conforme art. 35 (7), são:
- descrição sistemática das operações de tratamento previstas e a finalidade do tratamento, inclusive, se for caso disso, os interesses legítimos do responsável pelo tratamento;
- avaliação da necessidade e proporcionalidade das operações de tratamento em relação aos objetivos; avaliação dos riscos para os direitos e liberdades dos titulares dos direitos;
- avaliação das medidas previstas para fazer face aos riscos, incluindo as garantias, medidas de segurança e procedimentos destinados a assegurar a proteção dos dados pessoais e a demonstrar a conformidade com o Regulamento, tendo em conta os direitos e os legítimos interesses dos titulares dos dados e de outras pessoas em causa.
[15] De acordo a norma ISO/IEC 27037:2013, a classificação dos vestígios digitais/cibernéticos deve ser feita por meio de identificação, isolamento, registro, coleta e preservação das evidências digitais.