LGPD: COMO LIDAR COM DADOS SENSÍVEIS EM INVESTIGAÇÕES CORPORATIVAS
Foto: Pexels
As empresas estão sujeitas a riscos relacionados a fraudes, comportamentos indevidos e até mesmo corrupção. Por isso, são instauradas investigações corporativas com o objetivo de levantar todas as informações possíveis a fim de encontrar a verdade e uma solução.
Em algumas situações durante essas investigações são encontrados dados sensíveis que podem ser cruciais para a conclusão das análises, tais como fotos de clientes ou funcionários para reconhecimento facial, evidências que sustentam condutas de assédio moral e sexual, apuração de fraude em organizações de saúde e outros.
Com esses exemplos, fica clara a necessidade de estabelecer e reforçar critérios de cautela para o tratamento de dados sensíveis durante investigações corporativas.
O primeiro parâmetro a ser considerado acerca de um dado sensível envolve a essencialidade que ele apresenta para a investigação, se é relevante e indispensável utilizá-lo para o resultado da análise. Em caso negativo, não é recomendável apresentar o dado no relatório das apurações, por exemplo.
Contudo, os cenários em que o dado sensível se apresenta como essencial para o esclarecimento dos fatos devem ser submetidos a outros parâmetros de avaliação para a garantia da conformidade à Lei Geral de Proteção de Dados (LGPD) , como o da anonimização, o que não permite a associação, direta ou indiretamente, a um titular, pois é ocultado alguma parte do dado sensível.
De acordo com a consultora de investigação Lílian Fonseca e a consultora de data privacy Larissa Roedel, no caso de entrevistas investigativas sobre assédio, por exemplo, as informações coletadas são compiladas da maneira mais generalizada possível, sem distinções quanto ao que foi dito por este ou aquele participante.
“Já em casos de fraude envolvendo o parceiro do investigado, podem ser usadas outras informações que conectem as duas pessoas ao invés do relacionamento afetivo. Um endereço comum a ambos ou a conexão identificada em mídias sociais podem ser suficientes para comprovar um vínculo relevante na investigação.” esclarecem.
As consultoras explicam que inevitavelmente ocorrerão situações em que um dado sensível é essencial e não pode ser desvinculado do titular para que os resultados da investigação façam sentido em seu contexto. “No caso dos titulares serem funcionários, fornecedores ou clientes, é de suma importância que a empresa tenha estabelecido contratualmente e em sua Política de Privacidade, a possibilidade de eventuais consultas de suas bases de dados ou equipamentos corporativos para apuração de quebra do código de conduta”, explicam.
Nesses casos, a consultoria responsável pela investigação deve se comprometer com o compartilhamento interno consciente e descarte seguro das informações coletadas, além de firmar com a empresa contratante um acordo de confidencialidade eficiente que restrinja o acesso ao conteúdo obtido pela investigação. Isso irá garantir o caráter de sigilo do trabalho e evitar futuras exposições indevidas.
Para esses casos em que a utilização de dados sensíveis é essencial à condução da investigação, é necessária a confecção, pelas empresas, do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), visto que esse tratamento apresenta um risco ao proprietário dos dados. Esse documento tem como objetivo identificar e mitigar os riscos existentes em tratamentos que arrisquem as liberdades civis e os direitos fundamentais do titular.
Por fim, é válido recordar o objetivo proposto pela LGPD, que é "proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural". Não é finalidade da Lei representar obstáculos para a atuação do compliance nas empresas, muito pelo contrário, as organizações, comprometidas com a segurança dos titulares dos dados sensíveis, passam a ser referência de cultura ética no mercado, especialmente em cenários de investigações corporativas.