Eloiza Oliveira, gerente de Investigação (à esquerda), e Lilian Fonseca, consultora de Investigação da ICTS Protiviti
Investigações nas empresas não são prejudicadas ou comprometidas pela nova lei, desde que sejam capazes de se adaptar aos cuidados propostos, a partir do aperfeiçoamento de ferramentas e da cautela sobre o acesso, tratamento e descarte de informações.
Eloiza Oliveira e Lilian Fonseca (*)
A busca pelo combate à fraude e à corrupção é cada vez mais frequente e intensa nas empresas. Além de uma ameaça direta à perenidade e ao desenvolvimento dos negócios, tais irregularidades têm como consequência a perda de credibilidade diante de um mercado que está ainda mais consciente e exigente sobre a importância de práticas sustentáveis pautadas em valores éticos e em compliance.
Nas situações não passíveis de prevenção, ou seja, quando uma irregularidade já ocorreu, essa busca entra em cena como investigação corporativa, tendo o objetivo de identificar os responsáveis e indicar possíveis vulnerabilidades sistêmicas ou de governança que possibilitaram tal execução. Assim, é possível mitigar os riscos para que a empresa tome medidas cabíveis e se preserve de outros eventos semelhantes.
Para cumprir este objetivo, o tratamento de informações sensíveis é inevitável. Isso porque, durante uma análise, os investigadores possuem acesso amplo aos equipamentos corporativos dos investigados. Por meio deles são extraídas, muitas vezes, evidências robustas que respaldam a tomada de decisão.
Porém, no atual contexto de vigência da Lei Geral de Proteção de Dados (LGPD), há um novo desafio: garantir a continuidade do combate à fraude e à corrupção no meio empresarial sem que a Lei seja transgredida pela própria organização ou pelos encarregados de executar as abordagens investigativas.
Nessas ocasiões, o acesso aos dispositivos eletrônicos e caixas de e-mails corporativos de atuais ou antigos colaboradores ou o monitoramento das atividades realizadas no equipamento profissional do potencial fraudador são comumente conduzidos por consultorias independentes, que são contratadas por seus clientes para a apuração e o cruzamento de informações, tendo seu devido contexto, necessidade e objetivo.
Temos aqui um primeiro impasse a ser considerado com a LGPD: o acesso a dados sensíveis de uma organização por um agente externo. A imparcialidade da investigação deve garantir que serão explorados apenas os dados sobre os quais há relação direta com o contexto trazido pelo próprio cliente durante a contratação dos serviços. Por exemplo, num trabalho cuja motivação é uma denúncia de assédio moral por parte de um funcionário e o monitoramento eventualmente dá acesso ao endereço de sua residência, não é coerente que esta informação faça parte das apurações.
Confidencialidade dos trabalhos realizados
Além da cautela com a imparcialidade e a coerência do objetivo da investigação, há o comprometimento preestabelecido entre a consultoria e o cliente com a confidencialidade dos trabalhos realizados, de modo a restringir o acesso unicamente ao contratante – esse deve ser um fator sempre presente em qualquer trabalho legítimo de combate à fraude e à corrupção.
Portanto, é essencial documentar formalmente a coleta forense de dados para uma investigação com cadeia de custódia e ata notarial atestando os procedimentos adotados, bem como estabelecer com clareza junto ao cliente o devido descarte das informações após o fim das análises, evitando o vazamento para terceiros.
Também é importante refletir sobre o resguardo do acesso a dados neste contexto. Apesar de a LGPD não mencionar investigações corporativas, é possível obter amparo por meio do Artigo 7º, Inciso IX, sobre em quais situações o tratamento de dados pessoais pode ser realizado: “Quando necessário para atender os interesses legítimos do controlador ou de terceiros”.
Assim, pode-se dizer que a empresa, no papel de detentor dos dados de seus equipamentos, ferramentas e estruturas tecnológicas, tem o direito de requerer e autorizar o tratamento das informações ali contidas para atender aos seus interesses, inclusive para combater a ocorrência de eventos fraudulentos.
Nessa perspectiva, as investigações corporativas não serão prejudicadas ou comprometidas pela LGPD, desde que sejam capazes de se adaptar aos cuidados propostos, a partir do aperfeiçoamento de ferramentas e da cautela sobre o acesso, tratamento e descarte de informações. Superando tais obstáculos, os trabalhos investigativos em empresas obtêm, inclusive, contribuição à Lei.
(*) Eloiza Oliveira, gerente de Investigação, e Lilian Fonseca, consultora de Investigação da ICTS Protiviti.