Buscar
  • Claudia Bonard

A LGPD e as informações pessoais nos canais de denúncia, no contexto das investigações de Compliance




Claudia da Costa Bonard de Carvalho


Um pilar fundamental do programa de Compliance é o Canal de Denúncia, onde as irregularidades, crimes, casos de assédio e de fraudes deverão ser comunicados, em sigilo, para fins de serem devidamente apurados no âmbito corporativo.


Neste sentido, muitas empresas já possuem seus próprios canais de denúncia (e-mails, aplicativos e etc..), os quais vão captar, muitas vezes, dados pessoais de pessoas que foram diretamente apontadas como envolvidas em situações que devem ser investigadas internamente, como nomes, e-mails e etc....


Outra opção já disponível no mercado é a terceirização do canal de denúncias, que será um serviço externo, para que a empresa não tenha ainda uma estrutura adequada, no momento, para aquela atividade.


Percebe-se, no entanto, em ambas as hipóteses (canal de denúncia interno ou terceirizado), haverá evidente tratamento de dados pessoais, pela sua coleta e armazenamento, o que deve ser feito de acordo com os ditames da LGPD (Lei Geral de Proteção de Dados- Lei nº 13.709/18).


No caso, a empresa que coleta diretamente ou não dados pessoais, se torna controladora deste tratamento, pois ele será realizado e direcionado sempre para eventuais investigações internas, havendo sua respectiva responsabilização em caso de danos, o que não exclui a do serviço de canal de denúncia externo, no segundo caso, na forma dos artigos 4º, inciso IX[1], e 42[2] da LGPD.


Logo, qualquer falha de segurança que haja nessa atividade poderá causar o vazamento destes dados pessoais, o que seria um verdadeiro desastre corporativo, pela quebra do sigilo das informações e a exposição de pessoas, o que ensejaria diversos processos judiciais.


Tais dados pessoais, então, poderão ser usados para abertura de investigação interna de Compliance e deverão ser apurados, de forma a tonar mais efetiva a mitigação de situações de risco na empresa.


Sobre isso, há que se considerar que um investigado que teve seus dados pessoais coletados num canal de denúncias, ensejando uma investigação corporativa, deverá ter também os seus direitos respeitados nos termos da LGPD, com proteção daquelas informações dentro da própria investigação e sua possível retirada do sistema do canal de denúncias.


No caso, a empresa não poderia permitir que algo que funciona apenas como meio de coleta de dados pessoais para investigações corporativas, arquive também de forma permanente estas informações. Tal arquivamento se torna bastante perigoso, não só pela necessidade de sua alta e eficaz proteção contra vazamentos, mas também pela possível abusividade desta conduta, em caso de investigação interna inconclusiva, tal qual uma folha de antecedentes arquivada pela empresa, em prejuízo do colaborador.


Manter-se arquivados em um canal de denúncia estes bancos de dados pessoais feriria o princípio constitucional da dignidade da pessoa humana, que estaria “fichada corporativamente”.


Percebe-se, então, a importância de equalizar o interesse corporativo em apurar desvios de conduta e os direitos dos colaboradores em investigações internas.


Logo, o canal de denúncias não deve ser encarado como arquivo paralelo, com informações confidenciais sobre empregados, uma vez que o RH das empresas já realiza o histórico das intercorrências profissionais de cada colaborador na empresa, o que não deve ser confundido.


Além disso, a LGPD prevê que os dados pessoais coletados sem o consentimento (dados pessoais coletados no canal de denúncia, usando de base legal o legítimo interesse do empregador em apurar fraudes no ambiente laboral, por exemplo) poderão ser objeto de pedido de sua eliminação, na forma do artigo 18, parágrafo 2º[3] daquele diploma legal.


Não bastasse isso, caso houvesse recusa desse pedido, haveria ainda o risco de o empregado investigado acionar a ANPD, para comunicar o fato, de acordo com o parágrafo 1º[4] do mesmo artigo 18, o que poderia causar a um processo administrativo e a eventual aplicação de multas contra a empresa, controladora daqueles dados pessoais.


Assim, a atividade do canal de denúncias, que é diretamente relacionada às investigações internas de Compliance, deverá ser seriamente avaliada pela governança, em face da LGPD, sob pena de criação de graves problemas corporativos.

[1] Art 4º, VI - controlador: pessoa natural ou jurídica, de direito público ou privado, a quem competem as decisões referentes ao tratamento de dados pessoais; [2]Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo. [3]Art. 18. O titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: § 2º O titular pode opor-se a tratamento realizado com fundamento em uma das hipóteses de dispensa de consentimento, em caso de descumprimento ao disposto nesta Lei. [4] Art 18, § 1º O titular dos dados pessoais tem o direito de peticionar em relação aos seus dados contra o controlador perante a autoridade nacional.


16 visualizações0 comentário