Como conciliar a LGPD e o uso de dados nas investigações corporativas?
11 de março de 2021“A busca pelo combate à fraude e à corrupção é cada vez mais frequente e intensa nas empresas”, as profissionais da ICTS Protiviti comentam sobre o uso de dados
Por Lilian Fonseca e Eloiza Oliveira
Além de uma ameaça direta à perenidade e ao desenvolvimento dos negócios, tais irregularidades têm como consequência a perda de credibilidade diante de um mercado que está ainda mais consciente e exigente sobre a importância de práticas sustentáveis pautadas em valores éticos e em compliance.
Nas situações não passíveis de prevenção, ou seja, quando uma irregularidade já ocorreu, essa busca entra em cena como investigação corporativa, tendo o objetivo de identificar os responsáveis e indicar possíveis vulnerabilidades sistêmicas ou de governança que possibilitaram tal execução. Assim, é possível mitigar os riscos para que a empresa tome medidas cabíveis e se preserve de outros eventos semelhantes.
Para cumprir este objetivo, o tratamento de informações sensíveis é inevitável. Isso porque, durante uma análise, os investigadores possuem acesso amplo aos equipamentos corporativos dos investigados. Por meio deles são extraídas, muitas vezes, evidências robustas que respaldam a tomada de decisão.
Porém, no atual contexto de vigência da Lei Geral de Proteção de Dados (LGPD), há um novo desafio: garantir a continuidade do combate à fraude e à corrupção no meio empresarial sem que a Lei seja transgredida pela própria organização ou pelos encarregados de executar as abordagens investigativas.
Nessas ocasiões, o acesso aos dispositivos eletrônicos e caixas de e-mails corporativos de atuais ou antigos colaboradores ou o monitoramento das atividades realizadas no equipamento profissional do potencial fraudador, desde que descrito na política corporativa de segurança de informações e privacidade, são comumente conduzidos por consultorias independentes, que são contratadas por seus clientes para a apuração e o cruzamento de informações, tendo seu devido contexto, necessidade e objetivo.
Temos aqui um primeiro impasse a ser considerado com a LGPD: o acesso a dados pessoais de uma organização por um agente externo. A imparcialidade da investigação deve garantir que serão explorados apenas os dados sobre os quais há relação direta ao contexto trazido pelo próprio cliente durante a contratação dos serviços.
Por exemplo, num trabalho cuja motivação trata-se de denúncia de assédio moral por parte de um funcionário e o monitoramento eventualmente dá acesso ao endereço de sua residência, não é coerente que esta informação faça parte das apurações.
Além da cautela com a imparcialidade e a coerência do objetivo da investigação, há o comprometimento preestabelecido entre a consultoria e o cliente com a confidencialidade dos trabalhos realizados, de modo a restringir o acesso unicamente ao contratante – esse, deve ser um fator sempre presente em qualquer trabalho legítimo de combate à fraude e à corrupção.
Portanto, é essencial documentar formalmente a coleta forense de dados para uma investigação com cadeia de custódia e ata notarial atestando os procedimentos adotados, bem como estabelecer com clareza junto ao cliente o devido descarte das informações após o fim das análises, evitando o vazamento a terceiros.
Também é importante refletir sobre o resguardo do acesso a dados neste contexto.
Apesar da LGPD não mencionar investigações corporativas, é possível obter amparo por meio do artigo 7º, inciso IX, sobre em quais situações o tratamento de dados pessoais pode ser realizado: “quando necessário para atender os interesses legítimos do controlador ou de terceiros”, desde que seja realizada a avaliação de riscos e sejam aplicados e documentados controles de minimização para eventuais comprovações no caso de questionamentos pela ANPD (Autoridade Nacional de Proteção de Dados).
Assim, pode-se dizer que a empresa, no papel de detentor dos dados de seus equipamentos, ferramentas e estruturas tecnológicas, tem o direito de requerer e autorizar o tratamento das informações ali contidas para atender aos seus interesses, inclusive para combater a ocorrência de eventos fraudulentos.
Nessa perspectiva, as investigações corporativas não serão prejudicadas ou comprometidas pela LGPD, desde que sejam capazes de se adaptar aos cuidados propostos, a partir do aperfeiçoamento de ferramentas e cautela sobre o acesso, tratamento e descarte de informações. Superando tais obstáculos, os trabalhos investigativos em empresas obtêm, inclusive, contribuição à Lei.
Vigência da LGPD cria demanda por cursos de tecnologia e proteção de dados
Por que empresas e governo não conseguem resolver o problema de vazamento de dados no Brasil?
Sobre a ICTS Protiviti
A ICTS Protiviti é uma empresa brasileira que combina a segurança, eficiência e independência da plataforma tecnológica de serviços especializados da ICTS (canal de denúncias, diligência de terceiros, background e monitoramento de funcionários, e treinamentos on-line), com o alcance global e o conhecimento e inovação em gestão de riscos, compliance, auditoria, investigação e proteção de dados da Protiviti.
A união de deep expertise, com capacidade de transformação e excelência operacional, proporciona aos seus clientes um portfólio abrangente de soluções que endereçam os principais riscos, problemas e desafios de negócio, protegendo e maximizando o valor das organizações, e ajudando seus líderes a encararem o futuro com confiança e alcançarem resultados extraordinários num mundo dinâmico.
Reconhecida como Empresa Pró-Ética desde 2015, no Brasil conta com cerca de 400 profissionais em 5 escritórios localizados em São Paulo, Barueri, Rio de Janeiro e Belo Horizonte, que atendem a mais de 600 empresas de diferentes portes e segmentos.
No mundo, são mais de 4.500 profissionais atuando por meio de uma rede de subsidiárias e firmas-membro independentes. Empresa reconhecida como Great Place To Work e com faturamento anual superior a USD 1 bilhão, opera 85 escritórios em 27 países, que atendem a 60% das empresas da FORTUNE 1000®️.
O papel da TI para uma abordagem responsável sobre os dados
Cadastre-se para receber o IDNews e acompanhe o melhor conteúdo do Brasil sobre Identificação Digital! Aqui!