Há muito ainda por dizer sobre a lei portuguesa de whistleblowing. Está em vigor, é certo. Mas estarão as empresas portuguesas prontas para a cumprir? Ou melhor, estarão cientes de que podem ser alvo de elevadas coimas, se não cumprirem?
É importante clarificar esta lei. Há cerca de um ano, passou a estar em vigor, em Portugal, a Lei n.º 93/2021, referente ao Whistleblowing. Todas as organizações com mais de 50 colaboradores estão obrigadas a disponibilizarem um canal de denúncias, onde seja possível que qualquer profissional faça denúncias de comportamentos organizacionais que acredite serem anti-éticos, irregulares ou mesmo ilegais. As organizações, públicas e privadas, que não cumpram esta lei podem ser sancionadas com coimas que vão até aos 250.000 euros.
Os whistleblowers são as pessoas que denunciam determinado acontecimento. Ser um “denunciante” não é uma decisão, à partida, fácil de se tomar. Muitas vezes, as pessoas não fazem denúncias por receio de não haver acompanhamento, ou por medo de se colocarem sob grande exposição, arriscando a carreira ou até mesmo a sua própria reputação. Se é verdade que todos nós temos o objetivo de trabalhar numa organização ética e cumpridora de normas, também se sabe que nem todas as organizações aceitam ser “colocadas debaixo de fogo”, e que podem haver sérias repercussões para quem sinaliza, ou pretenda sinalizar, irregularidades. Para contrariar este receio, a Lei n.º 93/2021 refere a proteção dos whistleblowers – através do Regime Geral de Proteção de Denunciantes de Infrações – que, em boa-fé, denunciem comportamentos irregulares. Neste regime, a possibilidade de anonimato do denunciante deve ser garantida – depende da decisão do próprio.
Mas como? Quem garante o anonimato? E de que forma é que o whistleblower se pode sentir tão seguro ao ponto de avançar, de facto, com uma denúncia?
Através de um canal de denúncias que atue, verdadeiramente, como um escudo. E isto faz-se através da tecnologia e de algumas boas práticas que quem desenvolve canais de denúncia deve ter em conta.
Em primeiro lugar, todas as informações escritas no formulário de denúncia devem passar por um processo de encriptação de ponta-a-ponta. Apenas as pessoas designadas pelas organizações como gestores de denúncias podem ter acesso ao conteúdo deste formulário, bem como a possíveis documentos que sejam anexados. Este é o primeiro passo para garantir a segurança e anonimato do whistleblower.
Depois, a plataforma deve adotar um sistema muito robusto do ponto de vista da autenticação. Apenas o denunciante e o gestor de denúncias devem ter acesso ao conteúdo da denúncia e à evolução do processo. Uma das regras fundamentais para garantir a segurança do whistleblower, e que considero, de facto, muito pertinente, é ter um processo de autenticação que não autorize, sequer, a recuperação da palavra-passe. Se o denunciante perder a sua password, terá de voltar a fazer a denúncia. Não deve haver qualquer possibilidade de alguém interceptar este processo.
O armazenamento da informação também é fator a que se deve ter muita atenção. Prefiro confiar em plataformas que armazenem a informação em cloud. Os serviços de cloud seguem rigorosas medidas de segurança, altamente resistentes, como a redundância geográfica, que ajudam a levantar o tal escudo que protege os denunciantes.
É essencial também que o canal de whistleblowing esteja assente num sistema sem rastreabilidade possível. A plataforma deve ser projetada para minimizar os rastros digitais deixados pelo denunciante ao enviar informações. Isso inclui evitar o uso de cookies persistentes, registros detalhados de IP, metadados dos ficheiros anexados ou qualquer outra informação que possa ser utilizada para identificar o denunciante.
Por fim, de forma a garantir que o canal de denúncias é, verdadeiramente, um veículo de confidencialidade e segurança, tanto para o denunciante como para a própria empresa, aconselho vivamente que sejam realizadas auditorias periódicas de segurança. Os canais de whistleblowing devem ser submetidos a auditorias independentes para identificar possíveis vulnerabilidades e garantir que as melhores práticas de segurança sejam seguidas.
Estas são algumas boas práticas, ao nível da tecnologia aplicada, que os canais de whistleblowing devem seguir. No entanto, é importante, por último, deixar uma nota relativamente a uma questão com que me deparo habitualmente.
Relativamente ao gestor de denúncias, não é, ou não deve ser, possível que este manipule qualquer informação que um denunciante apresente. Tenho ouvido alguns receios relativos ao facto de denúncias poderem ser anuladas, de alguma forma, por quem as recebe – especialmente se os gestores forem, por alguma razão, os visados.
Os gestores de denúncias devem ser escolhidos pelo seu comportamento ético e justo. Devem ser profissionais que trabalhem de forma imparcial, com formação adequada e que ajam como barómetro moral das organizações. Além disso, diz a lei, devem pertencer à administração ou à direção da organização. Também eles devem ser protegidos através das ferramentas adequadas, para que o seu trabalho não esteja exposto a qualquer tipo de pressão interna. O “escudo” deverá ser sempre a palavra-chave, para as empresas e para os denunciantes. Para que a lei funcione, as empresas devem implementar ferramentas certas, que permitam exatamente a proteção dos whistleblowers e dos próprios gestores de denúncias. A integridade do processo, que só é garantida quando os canais são também idóneos, é uma peça importante no combate à corrupção. Existe um escudo tecnológico que nos protege.
