No ano de 2013, pela primeira vez em âmbito legislativo nacional, o ordenamento jurídico brasileiro introduziu um diploma legal voltado exclusivamente ao combate e repressão a atos de corrupção. Elaborada como resposta aos anseios populares e à pressão internacional, a Lei 12.846/13, consagrada como “Lei Anticorrupção”, tem como objetivo atingir empresas e os seus gestores por praticarem atos ilícitos contra a Administração Pública, atribuindo responsabilidade objetiva administrativa e civil.
Considerando as potenciais exposições às quais as empresas estariam expostas a partir da entrada em vigor da legislação supramencionada, o mercado brasileiro passou a se familiarizar com a tendência internacional do Compliance, tido como uma ciência comportamental que visa buscar a integridade nas relações humanas, regidas ou não por lei, mediante aplicação efetiva de ferramentas protocolares de gestão com o propósito de garantir a manutenção do ambiente ético e promover a sustentabilidade social, ambiental e econômica das instituições.
Para tanto, é imprescindível que essa ciência seja amparada por pilares sólidos que viabilizam a sua plena implementação dentro de um ambiente corporativo, por meio dos Programas de Compliance desenvolvidos por responsáveis técnicos capacitados e experientes. Nestas hipóteses, dando enfoque a um dos pilares, cumpre salientar a importância das investigações corporativas, responsáveis por respaldar a tomada de decisões pela Alta Administração, conferindo uma maior segurança para a empresa.
Independentemente da modelo investigativo adotado, incluindo o Background Check e a Due Diligence, ou se a investigação parte de uma apuração de relato advindo do canal de denúncias da empresa, é indispensável a coleta de dados pessoais dos envolvidos ou, ao menos, do investigado.
Neste sentido, cumpre destacar a ascensão de outra importante inovação legislativa que impactou substancialmente a rotina das empresas: a Lei n° 13.709/18, também conhecida como Lei Geral de Proteção de Dados. Responsável pela normatização da matéria de proteção de dados pessoais, a LGPD pode ser considerada uma linha de conformidade a ser tratada pelos profissionais do Compliance, como método complementar, uma vez que o seu objetivo nada mais é do que garantir aos titulares de dados pessoais que o tratamento das suas informações segue os mais seguros trâmites, encontra-se respaldado pelos ditames legais adequados e pelas melhores práticas de mercado devendo estar em plena conformidade com a lei e demais orientações advindas Autoridade Nacional de Proteção de Dados.
Observa-se, portanto, que a ciência do Compliance e a proteção de dados pessoais são concomitantes, devendo, idealmente, operarem em conjunto. Apesar disso, não é incomum a constatação de uma aparente colisão ao observar o pilar das investigações corporativas e a sua necessidade essencial de tratar dados dos investigados mesmo sem o consentimento dos seus titulares. Ora, ao passo que o artigo 7° da Lei Geral de Proteção de Dados abarca as hipóteses de tratamento de dados e, dentre elas, o consentimento[1], as metodologias investigativas dependem da utilização de dados sem a consciência do investigado, sob o risco de comprometer a eficácia e confiabilidade do processo investigativo.
Mas afinal, pode a organização tratar dados de seus colaboradores investigados sem que estes consintam com este tratamento?
Mesmo que, em primeiro momento, essa relação possa parecer contraditória, é possível identificar dentro das bases legais estabelecidas pela LGPD, prerrogativas legais para o tratamento destes dados, como é o caso do legítimo interesse[2], previsão expressa no texto legal.
Apesar disso, é importante destacar que esta hipótese, embora contemplada pela LGPD, está intrinsecamente relacionada ao apetite de risco de cada empresa e possui requisitos próprios de cabimento. Neste sentido, ao eleger o legítimo interesse como base legal de tratamento, é mais do que recomendado a realização de um teste de ponderação, também conhecido como LIA (Legitimate Interest Assessment), com o intuito de atestar a finalidade lícita do tratamento, a impossibilidade de tratar estes dados sob outra hipótese legal, a existência de finalidade justificada para o tratamento e a garantia de transparência e eventual oposição do titular de dados em relação à utilização dos seus dados.
Em que pese o diploma legal não exija forma específica para a metodologia adequada para a análise de cabimento desta hipótese, o LIA é considerado um dos métodos mais completos para esta aferição. Ainda, a adoção deste deverá fazer parte do planejamento estratégico interno da empresa, sob a apreciação do Compliance Officer e do comitê, tidos como responsáveis por esmiuçar de forma coesa se os requisitos destes testes foram ou não atingidos. Em caso negativo, a utilização da hipótese legal do legítimo interesse torna-se arriscada e poderá, inclusive, se tornar uma ameaça à integridade da própria organização, indicando a ocorrência de tratamentos de dados irregulares e, portanto, comprometendo também a integridade da companhia e podendo acarretar danos reputacionais e até mesmo financeiros, em eventuais pleitos judiciais.
Além da base do legítimo interesse, outra base que eventualmente será arguida para o tratamento de dados em processo investigativo seria a da obrigação legal, essencialmente em processos que emanam da força da Lei, como por exemplo: uma investigação interna deflagrada por necessidade de atendimento a acordo de leniência ou por ordem de processo administrativo disciplinar (PAR) ou então uma realização de due diligence para contratação em processo licitatório conduzido por órgão público ou empresa estatal.
Deflagra-se, portanto, que os processos investigativos em nada prejudicam a plena aplicação de Lei Geral de Proteção de Dados, desde que observados os requisitos relacionados às hipóteses legais previstas na legislação. Para tanto, é imprescindível à conformidade das corporações que o Programa de Compliance esteja inteiramente alinhado e integrado com o Programa de Privacidade e Proteção de Dados: a subsistência destas iniciativas depende da qualidade de suas implementações e, principalmente, da visão de multidisciplinariedade inerente a elas.
[1] Art. 7º O tratamento de dados pessoais somente poderá ser realizado nas seguintes hipóteses: I – mediante o fornecimento de consentimento pelo titular; (…)
Art. 8º O consentimento previsto no inciso I do art. 7º desta Lei deverá ser fornecido por escrito ou por outro meio que demonstre a manifestação de vontade do titular.
[2] Art. 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; e II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei.