Caros leitores, começo por referir que sou brasileiro escrevendo a partir do Brasil, para melhor se compreender que a minha crónica versa sobre uma comparação de alguns parâmetros das leis europeia e brasileira, no que concerne à legislação de proteção de dados.
Aqui no Brasil vivemos sob a expectativa (e apreensão) da entrada em vigor de nossa Lei Geral de Proteção de Dados – LGPD, que tende a ser em março de 2021. Até por necessidade de adaptação, a lei brasileira guarda muita similaridade com o Regulamento Geral de Proteção de Dados – RGPD, da União Europeia.
Tanto em uma quanto na outra legislação a preocupação principal é com os dados pessoais de clientes. Mas também há de se ter a atenção quando se trata da utilização de dados pessoais de funcionários, sobretudo pelo Compliance, em todos os seus pilares, principalmente quando falamos de investigações de fraudes internas. E o entendimento não nos parece tão simples!
Primeiramente, lembramos que as legislações limitam a utilização de dados pessoais, sendo que para tanto é necessária a existência de uma justificativa (base legal) que atenda a finalidade a que se destina. Pode ser porque o titular dos dados deu seu consentimento, interesse público, dentre outras. Mas para efeitos deste texto, e falarmos especificamente sobre investigações de fraudes, vamos nos prender em três bases legais que são a Execução de Contrato, o Legítimo Interesse e a Obrigação Legal.
Quando falamos em relações de trabalho, o RGPD seja descreve, em seu artigo 88, como devem ser tratados os dados pessoais, tanto para efeitos de recrutamento quanto para execução de contrato de trabalho, incluindo “o cumprimento das obrigações previstas no ordenamento jurídico ou em convenções coletivas, de gestão, planeamento e organização do trabalho, de igualdade e diversidade no local de trabalho, de saúde e segurança no trabalho, de proteção dos bens do empregador ou do cliente e para efeitos do exercício e gozo, individual ou coletivo, dos direitos e benefícios relacionados com o emprego, bem como para efeitos de cessação da relação de trabalho”. Entendemos, pela leitura do artigo em questão que as normas internas se incluem neste contexto, consequentemente as regras de Compliance.
Em apoio a este entendimento, isso fica mais claro quando analisado o Código de Trabalho Português (lei 99/2003). A obra de Regina Linden Ruaro e Eugênio Hainzenreder Junior sobre a proteção e privacidade no trabalho, ao buscar subsídios na legislação estrangeira, mostra que o artigo 150 traz que: “O Poder de Direção. Compete ao empregador, dentro dos limites decorrentes do contrato e das normas que o regem, fixar os termos em que deve ser prestado o trabalho. ”1
Ocorre que no ambiente europeu, o empregador encontra guarida para se apoiar nesta fundamentação para tratativa dos dados de seus funcionários, quando se trata de verificar eventuais violações às regras de trabalho ou proteção ao seu patrimônio. Mas no ambiente brasileiro será necessário um exercício para utilização desta base jurídica, pois a nossa LGPD não traz a mesma previsão legal. Para tanto, será necessário apoio na doutrina para o entendimento de que normas internas fazem parte do contrato de trabalho e, portanto, as regras de Compliance. Alguns juristas brasileiros entendem que as normas internas estariam presentes no poder de direção e que teria o empregador o direito de definir como será desenvolvida a prestação de serviços, podendo “ser sintetizadas nos atos de regulamentar a relação de emprego, distribuir, dirigir, orientar e fiscalizar, adequar a prestação às necessidades da empresa e impor sanções disciplinares ao empregado faltoso”2. E nesse entendimento, a legislação trabalhista brasileira (CLT – Consolidação das Leis do Trabalho), dispõe, no artigo 482, os motivos pelos quais o empregador pode demitir seus funcionários por motivo justificado, dentre eles ato de Improbidade (alínea a), incontinência de conduta e mau procedimento (alínea b) e indisciplina e insubordinação (alínea h). E para caracterização da falta grave é necessário que os procedimentos internos estejam muito bem descritos e que seja feita uma apuração interna fundamentada, que pode ser discutida na esfera judicial.
Mas há entendimento tanto quanto no RGPD quanto na LGPD que a base legal para justificar uma investigação interna seria o Legítimo Interesse, porque o contrato de trabalho regularia a atividade em si e não aspectos lesivos praticados por funcionários, a qual em tese não guardaria relação com a atividade desenvolvida. A fundamentação estaria na proteção do patrimônio do empregador. A exemplo disso, no Brasil temos nossa Constituição Federal (art. 5º, XXII) e Código Civil (art. 188, I), que trazem que dentro dos limites legais é legítimo ato para um exercício regular de direito para proteção do patrimônio.
Nessa mesma linha, nossa Lei de Proteção de Dados traz em seu artigo 10, II e dispõe que é Legitimo Interesse a sua proteção, a fim “do exercício regular de seus direitos”.
Outro aspecto a ser discutido quando falamos da legitimação de programas de Compliance frente à LGPD, seria a Obrigação Legal ou Regulatórias, prevista no artigo 7º, II. A exemplo disso, são as empresas listadas na Bolsa de Valores de Nova Iorque, pois são obrigadas a seguir e implementar controles exigidos pela Sarbanes-Oxley, sendo que dentro das regras está a manutenção de canal de denúncias e fazer seu devido tratamento. Há, também, outros setores regulados, como o bancário, com suas regras específicas quanto à matéria.
Sendo assim, para essas empresas fazerem uma investigação de fraudes internas não é uma opção, mas sim uma obrigação, caso a empresa queira ter suas ações negociadas naquela bolsa, encontrando o respaldo na legislação para isso.
Mas seja qual for a base legal de tratativa de dados que cada empresa entenda ser cabível ao seu negócio, consideramos que para a realização de investigação interna devem ser adotados alguns requisitos essenciais.
O primeiro deles é que todos os funcionários tenham conhecimento de que seus dados pessoais poderão ser utilizados no caso de investigação interna, quer seja por dispositivo no contrato de trabalho, por cumprimento ao Código de Ética (ou conduta) ou por cumprimento das regras de Compliance. Estar documentado quanto a esta ciência ajudará a empresa a justificar a utilização dos dados independentemente da base legal. Os investigadores devem assinar termos específicos se comprometendo com a confidencialidade dos dados e o compromisso de não acessar dados sem que seja para as atividades desenvolvidas.
Outro ponto importante é comprovar o motivo da utilização dos dados. E essa justificativa é feita por meio do registro de uma denúncia pelos canais oficiais da empresa e, consequentemente, por um plano de investigação, no qual constará quais são os dados necessários para atender a finalidade, ou seja, cumprir o objetivo da denúncia. Ou seja, aqui deve ser cumprido um dos requisitos da lei que é a utilização de dados mínimos. Se uma denúncia diz respeito a um assédio moral, importará o nome, registro funcional e o histórico profissional dentro da empresa. Não será necessária, por exemplo, a obtenção de nome de familiares porque em um primeiro momento não é pertinente a investigação, a não ser que se justifiquem por algum motivo que deve ser fundamentado.
Também devem haver acompanhamento e os cuidados necessários para que o investigador tenha acesso apenas àqueles dados estabelecidos no plano de investigação. Se durante a investigação algum dado pessoal for obtido sem ter a pertinência aos trabalhos, devem ser imediatamente descartados. Isso é comum acontecer quando na realização de Perícia Forense em dispositivos eletrônicos. Por isso a busca com palavras-chave contribui para manter o escopo do plano de trabalho.
Em entrevistas, sejam exploratórias quanto confirmatórias, inevitavelmente são colhidos dados pessoais, sendo que aqueles que não têm pertinência aos trabalhos realizados também devem ser descartados. Muitas vezes, no início das entrevistas, em um processo conhecido como calibração, algumas perguntas acabam sendo de cunho pessoal, recomendamos que elas sejam substituídas.
Os relatórios devem conter apenas os dados pessoais pertinentes àquilo que foi proposto. Aqueles que não acrescentam nada à conclusão do caso não devem ser mencionados. Há de se ter o cuidado necessário com a divulgação do relatório para as áreas pertinentes, por exemplo, ao departamento jurídico e ao Comitê de Ética (ou conduta), que também devem firmar seu compromisso de confidencialidade.
Principalmente se a empresa entender a base legal para utilização de dados pessoais em uma investigação interna é o Legítimo Interesse, devem ser seguidas as recomendações sugeridas pela Information Commissioner’s Office – ICO (autoridade independente que regula a Proteção de Dados no Reino Unido) a fim de determinar:
“Teste de objetivo: o objetivo do processamento é um interesse legítimo?
Teste de necessidade: o processamento dos dados é necessário e proporcional à finalidade?
Teste de equilíbrio: o interesse legítimo é substituído pelos interesses do indivíduo?”3
Emendemos que estas perguntas, com suas devidas adaptações, devem estar presentes independentemente da base legal escolhida pela empresa.
Nosso objetivo não é esgotar o tema, mas trazer algumas reflexões sobre a aplicabilidade das legislações de proteção de dados aos programas de Compliance e às investigações de fraudes. Aqui no Brasil, ainda temos algumas indefinições, sobretudo com a constituição de nossa entidade reguladora, que ainda está pendente. Mas, com toda a certeza, nos apoiaremos no RGPD para termos um entendimento correto da nossa legislação, que fez seu segundo aniversário, mas por motivo da pandemia ainda não teve sua vigência. Ainda há muito a ser aprofundado sobre o tema.
1 Ruaro, Regina Linden e Hainzenreder, Eugênio. PROTEÇÃO DA PRIVACIDADE NO CONTRATO DE TRABALHO: DA NORMATIZAÇÃO LEGAL A SITUAÇÕES DE CONFLITOS, pág. 9, disponível em: Dialnet-ProtecaoDaPrivacidadeNoContratoDeTrabalho-7277372.pdf
2 Idem
3 Tradução livre: Disponível em: https://globalinvestigationsreview.com/benchmarking/the-practitioner%E2%80%99s-guide-to-global-investigations-fourth-edition/1212406/data-protection-in-investigations
