A Lei Geral de Proteção de Dados (LGPD) e suas recentes regulamentações trouxeram desafios significativos para as investigações internas. Empresas precisam equilibrar a necessidade de apuração de irregularidades com o respeito aos direitos fundamentais de privacidade e proteção de dados dos titulares de dados investigados.
As investigações internas podem ser desencadeadas por canais de ética, auditorias, processos administrativos ou informações de mídia ou de mercado, exigindo a coleta e análise de documentos, registros financeiros, acessos a sistemas e comunicações corporativas. A rigorosa legislação de proteção de dados exige que tais atividades estejam sempre respaldadas em bases legais válidas, como o cumprimento de obrigação legal, legítimo interesse ou a execução de contratos.
O compartilhamento de informações com terceiros, como escritórios de advocacia e autoridades regulatórias, também deve seguir diretrizes apropriadas, assegurando-se de que todos os agentes envolvidos atendam aos padrões adequados de proteção de dados.
Em casos de transferências internacionais de dados, como nos casos em que uma empresa brasileira envia dados para sua matriz em outro país, as organizações devem adotar mecanismos previstos na LGPD, como cláusulas contratuais padrão ou normas corporativas globais.
Outro ponto essencial é a transparência. Embora algumas investigações necessitem de sigilo para evitar a destruição de evidências, os titulares dos dados devem ser informados sobre o tratamento de suas informações, salvo exceções previstas em lei. Políticas internas claras e avisos prévios podem mitigar riscos e evitar questionamentos futuros.
A minimização de dados também se destaca como princípio a ser seguido. Investigações devem limitar a coleta e o tratamento de dados ao que seja estritamente necessário para a devida condução da investigação (visando configurar, dessa forma, o interesse legítimo da empresa). Devem ser evitados, portanto, acessos desproporcionais a informações pessoais. Empresas devem também definir prazos adequados para retenção e descarte de dados, evitando armazenamentos desnecessários que possam comprometer a conformidade legal.
Investigações internas também exigem a adoção de medidas de segurança robustas para proteger a integridade, confidencialidade e disponibilidade das informações. A implementação de acessos restritos, monitoramento adequado e criptografia de dados sensíveis são medidas recomendadas para mitigar riscos de violações.
A nomeação de um encarregado pela proteção de dados (Data Protection Officer, DPO) é prática obrigatória sob a LGPD. Muitas organizações optam por acumular essa função com a do Chief Compliance Officer (CCO), mas essa abordagem deve ser avaliada com cautela para evitar conflitos de interesse. A recente Resolução CD/ANPD nº 18/2024 reforça a necessidade de autonomia do DPO, garantindo que sua atuação não seja influenciada por interesses internos da empresa.
Por outro lado, há de deixar claro que os interesses da empresa podem sobrepor-se ao direito à privacidade dos empregados quando há uma base legal adequada e os princípios da LGPD são respeitados. Exemplo disso é o direito da empresa de verificar dados corporativos dos empregados (e.g., conteúdos de e-mails e celulares corporativos), mesmo havendo possíveis informações pessoais circuladas por esses meios de comunicação, desde que cumpridas as obrigações e respeitados os princípios da LGPD.
Para garantir o alinhamento dos procedimentos investigativos apropriados com a LGPD, é recomendável que as organizações criem manuais de investigação detalhando boas práticas e diretrizes de proteção de dados. Contratos firmados com fornecedores, como auditores independentes e técnicos forenses, também devem conter cláusulas robustas de proteção de informações, assegurando a correta alocação de responsabilidades.
Em conclusão, diante desse cenário, a interseção entre compliance e proteção de dados impõe às empresas a necessidade de adotar uma abordagem preventiva e estruturada, com manuais de investigação que contemplam diretrizes claras, a fim de equilibrar a fiscalização corporativa e a proteção dos direitos individuais. A ausência de um planejamento adequado pode comprometer não apenas a eficácia, mas também a integridade do processo investigativo.
Shin Jae Kim e Lais Neme Cury Augusto Rezende, respectivamente, sócia e advogada na área de Compliance; e Luiza Sato, sócia na área de Cybersecurity & Data Privacy de TozziniFreire Advogados.
