por Lílian Fonseca e Larissa Roedel* Embora com menos frequência, as investigações corporativas encontram dados sensíveis que às vezes são cruciais para a conclusão das análises, tais como bases robustas com fotos de clientes ou funcionários para reconhecimento facial, evidências que sustentam condutas de assédio moral e sexual, apurações de fraude em organizações de saúde, posicionamentos político-partidários ou doações eleitorais identificadas em levantamentos de informações para verificação de favorecimentos. Com esses exemplos, fica clara a necessidade de estabelecer e reforçar critérios de cautela para o tratamento de dados sensíveis durante investigações corporativas. O primeiro parâmetro a ser considerado acerca de um dado sensível envolve a essencialidade que ele apresenta para a investigação.
É relevante e indispensável utilizá-lo para o resultado da análise? Em caso negativo, não é recomendável apresentar o dado no relatório das apurações, por exemplo. Contudo, os cenários em que o dado sensível se apresenta como essencial para o esclarecimento dos fatos devem ser submetidos a outros parâmetros de avaliação para a garantia da conformidade à Lei Geral de Proteção de Dados (LGPD), como o da anonimização, o que não permite a associação, direta ou indiretamente, a um titular, pois é ocultado alguma parte do dado sensível.
Em entrevistas investigativas sobre assédio, por exemplo, as informações coletadas são compiladas da maneira mais generalizada possível, sem distinções quanto ao que foi dito por este ou aquele participante. Já em casos de fraude envolvendo o parceiro do investigado, podem ser usadas outras informações que conectem as duas pessoas ao invés do relacionamento afetivo. Um endereço comum a ambos ou a conexão identificada em mídias sociais podem ser suficientes para comprovar um vínculo relevante na investigação.
Já nas apurações por análises de documentos que exibem dados de saúde de terceiros, por sua vez, podem ser omitidos os dados cadastrais de identificação, mantendo somente as informações pertinentes ao caso, como, por exemplo, a referência e o valor de um atendimento supostamente superfaturado e os profissionais envolvidos. Inevitavelmente ocorrerão situações em que um dado sensível é essencial e não pode ser desvinculado do titular para que os resultados da investigação façam sentido em seu contexto. Tais conjunturas exigem ainda mais cuidados.
No caso dos titulares serem funcionários, fornecedores ou clientes, é de suma importância que a empresa tenha estabelecido contratualmente e em sua Política de Privacidade, a possibilidade de eventuais consultas de suas bases de dados ou equipamentos corporativos para apurações de quebra do código de conduta. Nesses casos, a consultoria responsável pela investigação deve se comprometer com o compartilhamento interno consciente e descarte seguro das informações coletadas, além de firmar com a empresa contratante um acordo de confidencialidade eficiente que restrinja o acesso ao conteúdo obtido pela investigação. Isso irá garantir o caráter de sigilo do trabalho e evitar futuras exposições indevidas.
Para esses casos em que a utilização de dados sensíveis é essencial à condução da investigação, é necessária a confecção, pelas empresas, do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), visto que esse tratamento apresenta um risco ao proprietário dos dados. Esse documento tem como objetivo identificar e mitigar os riscos existentes em tratamentos que arrisquem as liberdades civis e os direitos fundamentais do titular. Também é importante destacar que, para casos de investigações transnacionais, também é necessário avaliar o tratamento de dados sensíveis sob a perspectiva de outras leis de privacidade, como por exemplo a GDPR (Regulamento Geral sobre a Proteção de Dados), vigente na União Europeia e, assim, conciliar as medidas de cautela necessárias para que o trabalho seja feito em conformidade com todas as leis envolvidas.
Por fim, é válido recordar o objetivo proposto pela LGPD, que é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". Não é finalidade da Lei representar obstáculos para a atuação do compliance nas empresas, muito pelo contrário, as organizações, comprometidas com a segurança dos titulares dos dados sensíveis, passam a ser referência de cultura ética no mercado, especialmente em cenários de investigações corporativas. *Lílian Fonseca é consultora de Investigação e Larissa Roedel é consultora de Data Privacy, ambas atuam na ICTS Protiviti, empresa especializada em soluções para gestão de riscos, compliance, auditoria interna, investigação, proteção e privacidade de dados. Sobre a ICTS Protiviti A ICTS Protiviti é uma empresa brasileira que combina a segurança, eficiência e independência da plataforma tecnológica de serviços especializados da ICTS (canal de denúncias, diligência de terceiros, background e monitoramento de funcionários, e treinamentos on-line), com o alcance global e o conhecimento e inovação em gestão de riscos, compliance, auditoria, investigação e proteção de dados da Protiviti.
A união de deep expertise, com capacidade de transformação e excelência operacional, proporciona aos seus clientes um portfólio abrangente de soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações, e ajudando seus líderes a encararem o futuro com confiança e alcançarem resultados extraordinários num mundo dinâmico. Reconhecida como Empresa Pró-Ética desde 2015, no Brasil conta com cerca de 400 profissionais em 5 escritórios localizados em São Paulo, Barueri, Rio de Janeiro e Belo Horizonte, que atendem a mais de 600 empresas de diferentes portes e segmentos. No mundo, são mais de 4.500 profissionais atuando por meio de uma rede de subsidiárias e firmas-membro independentes.
Empresa reconhecida como Great Place To Work e com faturamento anual superior a USD 1 bilhão, opera 85 escritórios em 27 países, que atendem a 60% das empresas da FORTUNE 1000®️.