Não há dúvidas de que a Lei 13.709/18, conhecida como Lei Geral de Proteção de Dados (LGPD), representa um grande avanço no desenvolvimento do Brasil, uma vez que referida legislação regulamenta o tratamento de dados em todo território brasileiro, incluindo cidadãos brasileiros e estrangeiros localizados no Brasil. Com o advento da LGPD, o Brasil se alinha à tendência internacional de maior preocupação na gestão e compartilhamento de dados, inaugurada pelo Regulamento Europeu 2016/679, mais conhecido como General Data Protection Regulation (GDPR).
Tanto a LGPD quanto o GDPR visam a garantir os direitos fundamentais de liberdade e de privacidade, além do livre desenvolvimento da personalidade diante da globalização e do desenvolvimento tecnológico, responsáveis pelo compartilhamento frequente de dados, que são hoje considerados uma das maiores riquezas - "o novo petróleo". Como consequência disso, organizações do setor privado ou público, ou mesmo pessoas físicas que tratam dados pessoais assumirão novas responsabilidades.
De acordo com a LGPD, dados pessoais são informações de uma pessoa física, também denominada "titular dos dados", identificada ou identificável como, por exemplo, nome, endereço, e-mail, estado civil ou idade. Ainda segundo a lei, o tratamento de dados ocorre em qualquer operação realizada com dados pessoais, desde sua coleta, permanência em bancos de dados até sua exclusão, inclusive no meio digital. A fim de evitar vazamento ou tratamento indevido dos dados pessoais, a LGPD estabeleceu, em seu art. 52, II, penalidades que podem gerar danos irreparáveis à reputação de uma empresa, além de sanções administrativas onerosas, como multa atrelada ao faturamento, que pode alcançar o patamar de até R$ 50.000.000,00 (cinquenta milhões de reais).
Importante colocar em debate, contudo, se todo tratamento de dados deveria ser interpretado necessariamente como indevido. Na área de compliance, investigar suspeita de condutas irregulares dos colaboradores pelas organizações é uma das formas de se fazer cumprir a Lei Anticorrupção, que dispõe, em seu artigo 7°, VIII, que "serão levados em consideração na aplicação das sanções" a "existência de mecanismos e procedimentos internos de integridade, auditoria e incentivo à denúncia de irregularidade". Não se perda de vista que empresas costumam acessar dados pessoais de funcionários e, eventualmente, de terceiros na condução de investigações internas e auditorias.
Diante desse cenário, como compatibilizar a LGPD e a Lei Anticorrupção, que tratam de temas tão sensíveis e impõe penas tão altas? Haveria um aparente conflito entre a Lei Anticorrupção, que incentiva as empresas a investigarem empregados suspeitos de irregularidade, e a LGPD, que protege o tratamento de dados pessoais?
Com efeito, em investigações internas, diversos dados pessoais podem ser acessados e analisados pela empresa, em aparente conflito com a LGPD. Ao se analisar referida norma, é possível identificar a exclusão das regras de proteção de dados, por exemplo, em investigações que estejam sob a tutela do Estado (art. 4º). Apesar de não haver previsão para investigações corporativas, a LGPD permite o tratamento de dados pessoais quando necessário para atender aos "interesses legítimos" do controlador ou de terceiros (art. 7º, IX).
Investigar infrações éticas e atos ilegais é direito das empesas de estar em conformidade com a legislação e desenvolver seus negócios sobre sólidas bases éticas. Investigações internas podem - e devem - ser iniciadas, seja por suspeita de fraude e atos de corrupção, seja para mitigar eventuais riscos de responsabilidade nas áreas criminal, trabalhista, concorrencial, societária, dentre outras. Portanto, mesmo a LGPD não tendo conceituado a expressão legítimo interesse, ter acesso a dados em investigações corporativas pode ser perfeitamente interpretado como de legítimo interesse das empresas, a afastar eventuais penalidades com base na LGPD.
Possuir uma equipe técnica treinada e consultores externos especializados, contratos e políticas internas com cláusulas específicas sobre a proteção de dados, além de canal de denúncias independente são alguns dos cuidados mais relevantes para as empresas que desejam estar em conformidade com a LGPD e a Lei Anticorrupção. Mais do que nunca, empresas deverão adotar medidas de segurança para o tratamento de dados pessoais de empregados, e a motivação de cada investigação deverá ser devidamente documentada, para o caso de surgir algum questionamento da Autoridade de Proteção de Dados (ANPD). São medidas imprescindíveis para mitigar riscos e evitar penalidades.
Independentemente do porte e setor de atuação da empresa, todos que lidam com dados pessoais deverão respeitar a LGPD. Contudo, não existe uma fórmula pronta que garanta que todas as empresas consigam se adaptar satisfatoriamente às novas regras. Cada empresa possui características e desafios próprios, decorrentes do setor de atuação, do porte e da estrutura administrativa. Com o início da vigência da LGPD, previsto para agosto de 2020, é recomendado que seja realizado pela empresa o mapeamento de riscos e a adequação legal, levando-se em consideração também a possibilidade de tratamento de dados em investigações internas.
* Natalia Amici e Filipe Magliarelli são especialistas da área de Compliance & Investigações do KLA Advogados
