Proteção de dados e investigação corporativa

Proteção de dados e investigação corporativa

Geert Aalbers*

16 de junho de 2019 | 13h00

 Acervo Pessoal

Os dados se consolidaram como uma commodity muito valiosa que representa risco à privacidade se explorada de forma inescrupulosa. São cada vez mais volumosas e detalhadas as informações coletadas. É possível saber o que se faz no trabalho e como se interage com o mundo ao redor.

Como lidar com um mundo que deve proteger as informações privativas, mas que cobra cada vez mais transparência das empresas para coibir crimes, como corrupção, lavagem de dinheiro e afins?

Primeiro, é importante separar o que é relevante para o processo investigativo e o que é descartável. Mensagens de texto em telefone celular sobre acertos, e-mails entre pessoas-chave ou registros em bancos de dados e sistemas contábeis são fontes primordiais para a investigação. Conversas entre amigos e familiares são irrelevantes.

Mas há zonas cinzentas. Para não afetar a coleta e o manuseio dessas informações, é imperativo entender, navegar e cumprir os limites legais em cada situação e em cada país.

O cenário regulatório mudou significativamente nos últimos anos. Privacidade de dados, leis de proteção e de residência se espalharam pelo mundo e são cada vez mais complexas.

O problema é que as regras adotadas pelos reguladores internacionais estão descompassadas com os avanços tecnológicos. No Risk Map 2019, o estudo que nós da Control Risks fazemos sobre previsão de risco político e de segurança, regulação inconsistente de dados é um dos cinco riscos principais que afetam o cenário empresarial internacional —é um desafio tão grande quanto as ameaças de cyber segurança.

Essa discrepância deve-se às maneiras divergentes que o assunto é tratado na China, nos EUA e na Europa. Cada um desses locais tem sua prioridade e sua característica. A União Europeia introduziu em maio do ano passado a General Data Protection Regulation (GDPR), uma regulação extraterritorial desenhada para proteger os cidadãos da UE. Os EUA não tem uma regulação unificada e as normas variam conforme o estado. A China oferece aos seus cidadãos uma forte estrutura legal, que garante a privacidade e determina que empresas protejam uma ampla gama de informações pessoais.

No Brasil, a Lei Geral de Proteção de Dados (LGPD) entra em vigor em agosto do ano que vem. Ela cria regras para a coleta, uso, tratamento e armazenamento de dados pessoais e impõe uma responsabilidade civil para cumprir a mesma.Quem descumpri-la é obrigado a ressarcir danos patrimoniais, morais, individuais e coletivos. A multa diária é de até 2% do faturamento da empresa infratora, ou, se for o caso, do grupo empresarial no Brasil, limitada a R$ 50 milhões por infração.

Mas o que tudo isso significa para as investigações corporativas? Deve-se levar em conta a privacidade na análise forense digital devida à captura e análises de registros eletrônicos pessoais e altamente regulamentados. Não é incomum encontrar e-mails particulares, históricos de navegação pessoais, declarações fiscais, registros médicos ou comunicações legais de um funcionário em um computador de trabalho.

O problema é mais significativo nos telefones celulares, em parte devido a problemas de propriedade de dados. Ainda mais quando se considera a proporção de funcionários que usam seu próprio smartphone para o trabalho: 86%, de acordo com uma pesquisa com 3.500 trabalhadores em 2015.

Registros em negócios de sistemas corporativos podem conter dados protegidos, como informações pessoais de saúde, registros de cartões de crédito e números de carteira de motorista. Outras categorias de dados devem ser cuidadosamente tratadas durante as investigações para se cumprir as leis.

A forma difusa das legislações internacionais representa um desafio adicional para nós investigadores. A proteção de dados é relevante, mas há uma fronteira entre acesso a dados privados e a investigação de crimes, desvios e irregularidades. Uma situação jamais se impõe sobre a outra.

Para isso, é importante uma série de procedimentos por parte dos investigadores e das empresas. Do lado de quem analisa dados, diante da suspeita de algum irregularidade ou desvio, é preciso ter conhecimento do aparato legal em torno da proteção dos dados. É relevante ter validação ao acesso a dados. É imperativo manter-se focado no que é relevante para a investigação e deixar de lado o que é  privativo. E a análise de dados deve ser local, para não infringir regras internacionais de transposição de informações entre fronteiras.

Mas sempre é importante ter cuidado. Se o investigador perceber que pode passar do limite do legal, é essencial suspender o trabalho, deixar o dado em quarentena e buscar uma opinião legal sobre como proceder.

Conversas e informações pessoais dificilmente fazem parte do contexto investigativo (as exceções são mínimas). Por isso, analisar e investigar a conduta dos negócios —sobretudo em relação a fraude, suborno e corrupção— dificilmente será afetado pela proteção de dados privados.  Do lado das empresas, elas precisam construir um ambiente de compliance eficaz e efetivo, além de adotar procedimentos para evitar que seus colaboradores confundam vida pessoal com a rotina do trabalho.

As empresas preocupadas em estabelecer um compliance robusto e ter controle para mitigar comportamentos impróprios e criminosos devem adotar práticas que estabelecem limites para o que é privativo e o que é relevante ao dia a dia da companhia. Estratégias de mitigação passam pela necessidade de o colaborador não confundir seus papéis.

Empresas que adotam essa prática em seu compliance tornam-se ainda mais robustas quando forem alvo de investigações e facilitam a cooperação entre investigadores e colaboradores. O importante é apenas ter em mente que crimes, irregularidades e desvios dificilmente serão protegidos como dados privados, mesmo que tentem camuflar um com o outro.

*Geert Aalbers é senior partner da Control Risks

Comentários

Os comentários são exclusivos para assinantes do Estadão.