Sabe-se que as organizações que possuem Programa de Compliance precisam, obrigatoriamente, dispor de Canal de Denúncias, por ser um dos pilares do Programa, bem como detectar, prevenir e apurar todas as condutas que não estejam de acordo com as normas internas e a legislações vigentes. Todas as denúncias recebidas no Canal devem ser tratadas e aquelas que envolvem temas mais sensíveis, como por exemplo assédios, são encaminhadas para a fase de investigação corporativa. Nesta fase, inúmeros dados pessoais são coletados, fazendo-se necessário que empresas estejam adequadas a Lei Geral de Proteção de Dados.

Primeiramente, destaca-se a importância de manter a confidencialidade das informações coletadas durante o procedimento de investigação, por isso, sugere-se, que antes de iniciar a fase de entrevistas com os colaboradores relacionados, disponibilizar termo de confidencialidade, onde as partes se comprometem a garantir que todas as informações ali trocadas são sigilosas e caso ocorra qualquer tipo de vazamento, a parte responsável será responsabilizada.

Com a entrada em vigor da LGPD (Lei geral de proteção de Dados), o tratamento de dados pessoais em procedimentos de investigações corporativas tornou-se polêmico, principalmente porque a transparência é um dos princípios basilares da Lei. E agora, como devemos tratar os dados pessoais coletados nos procedimentos de investigações corporativas?

A Lei 12.846 de 01 de agosto de 2013, que dispõe sobre a responsabilização administrativa e civil de pessoas jurídicas pela prática de atos contra a administração pública, nacional ou estrangeira, conhecida como Lei Anticorrupção, traz em seu art. 7º:

Art. 7º Serão levados em consideração na aplicação das sanções: VII – a cooperação da pessoa jurídica para a apuração das infrações; VIII – a existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidades e a aplicação efetiva de códigos de ética e de conduta no âmbito da pessoa jurídica.

Nota-se que o procedimento de investigações corporativas, quando desenvolvido, será levado em consideração no momento da aplicação de sanções àquelas empresas que cometerem atos lesivos contra a administração pública, ou seja, corrobora com a tese de que as investigações corporativas se fazem necessárias não só por ser um dos pilares do Programa de Compliance, como também ferramenta de mitigação da materialização de sanções, conforme previsão em Lei.

Ademais, o Decreto Regulamentador da Lei Anticorrupção nº 11.129 de 11 de julho de 2022, em seu art. 57, inciso X, prevê:

Art. 57. Para fins do disposto no inciso VIII do caput do art. 7º da Lei nº 12.846, de 2013, o programa de integridade será avaliado, quanto a sua existência e aplicação, de acordo com os seguintes parâmetros: X – canais de denúncia de irregularidades, abertos e amplamente divulgados a funcionários e terceiros, e mecanismos destinados ao tratamento das denúncias e à proteção de denunciantes de boa-fé.

Constata-se que o procedimento das investigações corporativas encontra-se pautado como fundamento basilar de um Programa de Compliance, sendo inclusive, medida mitigadora caso ocorra algum tipo de aplicação de sanção prevista na Lei Anticorrupção.

Em relação ao tratamento dos dados pessoais coletados no procedimento das investigações corporativas, faz-se necessário analisar com o direito comparado: Regulamento Europeu de Proteção de Dados (GDPR). Atualmente encontra-se consolidado o entendimento de que esses dados sejam tratados com base no requisito do interesse legítimo do empregador, desde que seja apenas para cumprir com esta finalidade, bem como o respeito aos princípios do regulamento.

A interpretação doutrinária europeia entende que não há restrição quanto ao tratamento sigiloso dos dados pessoais em procedimentos de investigações corporativas, bastando apenas definir a finalidade e fundamentar na devida base legal.

Trazendo a análise para a Lei brasileira, as bases legais mais adequadas para enquadrar-se a coleta dos dados pessoais em procedimentos de investigações corporativas são: a) a de cumprimento de obrigação legal ou regulatória pelo controlador, prevista no art. 7º, inciso II, quando relacionar-se a uma obrigação legal ou b) a do interesse legítimo do empregador, prevista no art. 7º, inciso IX, quando relacionar-se ao cumprimento de normas internas.

Todavia, é indispensável informar a finalidade da coleta dos dados pessoais a todos os colaboradores e partes relacionadas, através de publicação de políticas e disponibilização de termos durante o procedimento. Também deve-se coletar somente os dados necessários para a investigação, registrar todas as operações, cumprir com as boas práticas de governança corporativa, bem como com os princípios da LGPD e adotar medidas que garantam a transparência na execução do procedimento.

*Larissa Fleury é Chief of Compliance na Compliance Control. Advogada. Fundadora do NEW Instituto de Compliance. Mestranda em Direito pela Universidade do Distrito Federal (UDF). Profissional certificada em Compliance Anticorrupção pela LEC Bord – Legal Ethics and Compliance Certification Bord. Especialista em Gestão de Pessoas e Compliance Trabalhista pela Fundação Getúlio Vargas (FGV-LAW/SP). MBA em Compliance e Gestão de Riscos com ênfase em Governança e Inovação pela PolisCivitas. Especialista em Lei Geral de Proteção de Dados pela Data Privacy Brasil.

Sobre a Compliance Control: A Compliance Control é uma empresa especializada no desenvolvimento de soluções em conformidade com a legislação e com os padrões nacionais e internacionais de compliance. Prestamos serviços de consultoria, mentoria, tecnologia e treinamento.