O uso de dados sensíveis em investigações corporativas é assegurado pela LGPD?

A busca por uma cultura bem fundamentada nas boas práticas de compliance é cada vez mais perceptível entre as empresas, não somente para a manutenção do negócio, como também para garantir uma visibilidade positiva no atual mercado que, agora, mais do que nunca, está atento aos valores, à cultura e à performance dos resultados das organizações.

Entretanto, a abordagem para atingir tal objetivo nem sempre é do tipo preventiva. Em certos casos, os princípios de conformidade de uma empresa podem ser reforçados e fortalecidos por meio do combate às fraudes e quebras dos códigos de conduta. Neste cenário, contrata-se serviços de investigações corporativas que, de formas independente e imparcial, trazem esclarecimentos sobre as irregularidades ocorridas para que as devidas providências possam ser tomadas pela organização da forma mais assertiva possível.

É natural que as frentes de investigação empresarial atuem com diversas informações sobre funcionários, fornecedores ou quaisquer potenciais envolvidos no caso para cruzamentos e conexões que confirmem ou descartem as hipóteses iniciais, inclusive dados pessoais variados que, eventualmente, podem ainda ser classificados como sensíveis. Assim, considerando o início da vigência da Lei Geral de Proteção de Dados (LGPD) em 2020, é preciso atenção.

De acordo com a definição da LGPD, dado pessoal é todo aquele que permite identificar uma pessoa natural, não havendo descrição explícita de quais informações são essas. Já os dados sensíveis estão definidos como aqueles que podem gerar algum tipo de preconceito, discriminação ou tratamento diferenciado ao titular. Então, como garantir a conformidade com esta nova Lei ao conduzir as investigações corporativas que englobam dados sensíveis?

A Lei apresenta as hipóteses que autorizam esses tratamentos, como a utilização de dados sensíveis em investigações corporativas, sendo eles: quando o titular ou responsável legal der seu consentimento; quando indispensável para o cumprimento de alguma obrigação legal ou regulatória pelo controlador; na execução de políticas públicas; na realização de estudos por órgãos de pesquisa; no exercício regular de direitos; na proteção da vida; na tutela da saúde e na garantia de prevenção à fraude e à segurança do titular.

Assim, uma das hipóteses para o tratamento de dados sensíveis de colaboradores, fornecedores e clientes, pelo controlador, em procedimentos de combate à fraude e às irregularidades dentro das empresas é a de exercício regular de direitos para a utilização de evidências num processo judicial, administrativo e arbitral, nos casos em que o produto dessa investigação servirá de evidência de suporte para um processo judicial, por exemplo, quando se deseja a restituição de valores.

Outra hipótese que pode ser contemplada é a de prevenção à fraude e à segurança do titular, situações as quais se identificou a possibilidade de vazamento de dados, por exemplo, que possa afetar demais titulares. Além disso, podemos considerar os casos em que há imposições legais para a condução de investigações, que serão considerados partes de uma obrigação legal.

Nas situações que não se enquadrarem nenhuma das hipóteses anteriores, é possível coletar o consentimento do titular para a utilização dos dados sensíveis com finalidades investigativas, por exemplo, fornecendo um termo específico para ciência e concordância dos colaboradores. É válido destacar que este não seria o artifício ideal, pois o titular pode suspender a autorização a qualquer momento, interferindo na execução das apurações.

Em suma, os dados sensíveis podem integrar o combate à fraude e às irregularidades nas empresas, desde que estejam assegurados pela LGPD e embasados e validados por especialistas do segmento jurídico.

*Lílian Fonseca é consultora de Investigação e Larissa Roedel é consultora de Data Privacy, ambas atuam na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados.

Sobre a ICTS Protiviti

A ICTS Protiviti é uma empresa brasileira que combina a segurança, eficiência e independência da plataforma tecnológica de serviços especializados da ICTS (canal de denúncias, diligência de terceiros, background e monitoramento de funcionários, e treinamentos on-line), com o alcance global e o conhecimento e inovação em gestão de riscos, compliance, auditoria, investigação e proteção de dados da Protiviti.

A união de deep expertise, com capacidade de transformação e excelência operacional, proporciona aos seus clientes um portfólio abrangente de soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações, e ajudando seus líderes a encararem o futuro com confiança e alcançarem resultados extraordinários num mundo dinâmico.

Reconhecida como Empresa Pró-Ética desde 2015, no Brasil conta com cerca de 400 profissionais em 5 escritórios localizados em São Paulo, Barueri, Rio de Janeiro e Belo Horizonte, que atendem a mais de 600 empresas de diferentes portes e segmentos. No mundo, são mais de 4.500 profissionais atuando por meio de uma rede de subsidiárias e firmas-membro independentes. Empresa reconhecida como Great Place To Work e com faturamento anual superior a USD 1 bilhão, opera 85 escritórios em 27 países, que atendem a 60% das empresas da FORTUNE 1000®️.