Inevitavelmente ocorrerão situações em que um dado sensível é essencial e não pode ser desvinculado do titular para que os resultados da investigação façam sentido em seu contexto
Larissa Roedel e Lílian Fonseca (*)
Embora com menos frequência, as investigações corporativas encontram dados sensíveis que às vezes são cruciais para a conclusão das análises, tais como bases robustas com fotos de clientes ou funcionários para reconhecimento facial, evidências que sustentam condutas de assédio moral e sexual, apurações de fraude em organizações de saúde, posicionamentos político-partidários ou doações eleitorais identificadas em levantamentos de informações para verificação de favorecimentos. Com esses exemplos, fica clara a necessidade de estabelecer e reforçar critérios de cautela para o tratamento de dados sensíveis durante investigações corporativas.
O primeiro parâmetro a ser considerado acerca de um dado sensível envolve a essencialidade que ele apresenta para a investigação. É relevante e indispensável utilizá-lo para o resultado da análise? Em caso negativo, não é recomendável apresentar o dado no relatório das apurações, por exemplo.
Contudo, os cenários em que o dado sensível se apresenta como essencial para o esclarecimento dos fatos devem ser submetidos a outros parâmetros de avaliação para a garantia da conformidade à Lei Geral de Proteção de Dados (LGPD), como o da anonimização, o que não permite a associação, direta ou indiretamente, a um titular, pois é ocultado alguma parte do dado sensível.
Em entrevistas investigativas sobre assédio, por exemplo, as informações coletadas são compiladas da maneira mais generalizada possível, sem distinções quanto ao que foi dito por este ou aquele participante. Já em casos de fraude envolvendo o parceiro do investigado, podem ser usadas outras informações que conectem as duas pessoas ao invés do relacionamento afetivo. Um endereço comum a ambos ou a conexão identificada em mídias sociais podem ser suficientes para comprovar um vínculo relevante na investigação.
Já nas apurações por análises de documentos que exibem dados de saúde de terceiros, por sua vez, podem ser omitidos os dados cadastrais de identificação, mantendo somente as informações pertinentes ao caso, como, por exemplo, a referência e o valor de um atendimento supostamente superfaturado e os profissionais envolvidos.
Inevitavelmente ocorrerão situações em que um dado sensível é essencial e não pode ser desvinculado do titular para que os resultados da investigação façam sentido em seu contexto. Tais conjunturas exigem ainda mais cuidados. No caso dos titulares serem funcionários, fornecedores ou clientes, é de suma importância que a empresa tenha estabelecido contratualmente e em sua Política de Privacidade, a possibilidade de eventuais consultas de suas bases de dados ou equipamentos corporativos para apurações de quebra do código de conduta.
Acordo de confidencialidade
Nesses casos, a consultoria responsável pela investigação deve se comprometer com o compartilhamento interno consciente e descarte seguro das informações coletadas, além de firmar com a empresa contratante um acordo de confidencialidade eficiente que restrinja o acesso ao conteúdo obtido pela investigação. Isso irá garantir o caráter de sigilo do trabalho e evitar futuras exposições indevidas.
Para esses casos em que a utilização de dados sensíveis é essencial à condução da investigação, é necessária a confecção, pelas empresas, do Relatório de Impacto à Proteção de Dados Pessoais (RIPD), visto que esse tratamento apresenta um risco ao proprietário dos dados. Esse documento tem como objetivo identificar e mitigar os riscos existentes em tratamentos que arrisquem as liberdades civis e os direitos fundamentais do titular.
Também é importante destacar que, para casos de investigações transnacionais, também é necessário avaliar o tratamento de dados sensíveis sob a perspectiva de outras leis de privacidade, como por exemplo a GDPR (Regulamento Geral sobre a Proteção de Dados), vigente na União Europeia e, assim, conciliar as medidas de cautela necessárias para que o trabalho seja feito em conformidade com todas as leis envolvidas.
Por fim, é válido recordar o objetivo proposto pela LGPD, que é “proteger os direitos fundamentais de liberdade e de privacidade e o livre desenvolvimento da personalidade da pessoa natural”. Não é finalidade da Lei representar obstáculos para a atuação do compliance nas empresas, muito pelo contrário, as organizações, comprometidas com a segurança dos titulares dos dados
sensíveis, passam a ser referência de cultura ética no mercado, especialmente em cenários de investigações corporativas.
(*) Consultora de Data Privacy e consultora de Investigação da ICTS Protiviti
Nota: este artigo é a continuação de um artigo anterior das duas autoras publicado neste site. Ele pode ser acessado no link O uso de dados sensíveis em investigações corporativas é assegurado pela LGPD? (lawinnovation.com.br)