Investigações internas e a nova Lei Geral de Proteção de Dados Pessoais
A penalização crescente de práticas de corrupção no Brasil tem levado cada vez mais empresas a adotar políticas rigorosas de compliance. Alguns aspectos da Lei Geral de Proteção de Dados Pessoais (LGPD), aprovada recentemente, têm levado autores a sustentar que a lei trará óbices à realização de investigações internas, inerentes a esses programas de compliance. Este artigo defende que esse entendimento é infundado.
A LGPD foi editada no Brasil em 2018, seguindo o movimento iniciado pela União Europeia para expansão da proteção de dados pessoais que levou à criação do Regulamento Geral de Proteção de Dados (General Data Protection Regulation – GDPR). Assim como o GDPR, a lei brasileira possui escopo extraterritorial de modo que entidades que não possuem estabelecimento no país se sujeitarão à nova lei mesmo que apenas coletem dados no Brasil ou ofertem bens ou serviços do exterior para o país.
Muito embora a lei brasileira entre em pleno vigor apenas em 2020, as empresas devem começar desde já a implementar seus projetos de adequação. Tais processos levam em média de seis meses a dois anos, o que varia de acordo com as características e o fluxo de dados tratados, o porte da empresa e o quanto já foi feito com esse propósito.
Empresas que já estão em conformidade com o GDPR provavelmente enfrentarão um processo mais suave de adequação às disposições da LGPD. No entanto, a lei brasileira possui particularidades quando comparada ao regulamento europeu – estar em conformidade com o GDPR não significa estar imediatamente em conformidade com a nova lei brasileira.
Uma análise mais apurada dos recentes movimentos no Brasil quanto à aplicação da legislação em matéria de compliance ilustra como uma interpretação equivocada pode levar a entendimentos incorretos. Parece ser o caso da posição de que a LGPD prejudicará as investigações internas.
Devido à recente aplicação das leis anticorrupção e de outras leis em matéria de compliance, as empresas com negócios no Brasil passaram a incluir dentre suas prioridades corporativas políticas severas com o objetivo de se adequar a essas leis. As autoridades brasileiras vêm cada vez mais reconhecendo os programas de compliance efetivos como atenuante na imposição das sanções em casos relacionados a violações das leis anticorrupção e concorrencial.
Em decorrência disso, a prática de conduzir auditorias internas por entidades privadas se difundiu dentre as mais diversas indústrias, especialmente as que dependem do relacionamento com o governo. Quando uma empresa identifica indícios de violação às leis nacionais anticorrupção e concorrencial, usualmente são conduzidas auditorias internas para apurar os fatos e adotar as medidas cabíveis, se necessário. Esses procedimentos normalmente envolvem o tratamento de dados pessoais de empregados e até mesmo de terceiros.
A má interpretação da LGPD atinge justamente tais auditorias internas promovidas por entidades privadas. Nos termos do artigo 4º, que estabelece as situações em que a lei não se aplica, excluem-se do escopo da LGPD as atividades de “investigação e repressão de infrações penais”, salvo se em procedimentos sob a tutela de pessoa jurídica de direito público. Nesse sentido, entidades privadas não poderiam tratar dados pessoais em conexão com tais atividades, a menos que o fizessem no contexto de um procedimento sob tutela estatal, e desde que não tratassem a totalidade do banco de dados.
Essas disposições levaram diversos autores a se posicionar no sentido de que a nova lei impõe obstáculos intransponíveis à condução de investigações internas por entidades privadas. Não é esse o caso: estes dispositivos legais não se referem às auditorias internas conduzidas pelas empresas, mas sim a uma investigação conduzida pelo Estado em que entidades privadas estão envolvidas. Nesses casos as empresas deverão agir sob a orientação das autoridades públicas.
Nada permite dizer que as investigações internas não podem mais ser conduzidas por entidades privadas; por outro lado, é evidente que tais atividades devem respeito à nova lei. A LGPD prevê a obtenção do consentimento da pessoa natural como o principal requisito para a licitude do tratamento de seus dados pessoais, mas há outras hipóteses em que seus dados podem ser tratados. Dentre elas, duas se destacam: o cumprimento de obrigação legal ou regulatória pelo controlador, ou quando necessário para atender aos interesses legítimos do controlador ou de terceiros. É exatamente o caso que leva uma empresa a promover uma auditoria interna frente a indícios de práticas ilegais, tendo em vista a possibilidade de sua responsabilização objetiva conforme previsto nas leis anticorrupção e concorrencial.
Portanto, investigações internas conduzidas por entidades privadas são permitidas pela LGPD, sempre que necessário ao cumprimento de uma obrigação legal ou quando existirem interesses legítimos por parte da empresa. Ao tratar os dados, as empresas devem cumprir outros princípios e restrições determinados pela lei, como a boa-fé, a transparência, a limitação do tratamento ao mínimo necessário, o término do tratamento nas hipóteses previstas na lei, bem como a adoção de medidas de segurança, técnicas e administrativas capazes de proteger os dados pessoais contra acessos não autorizados. (O GDPR possui uma redação mais direta com relação a esse tópico. Afirma expressamente que o tratamento de dados pessoais estritamente necessário para efeitos de prevenção de fraudes constitui igualmente um interesse legítimo do controlador em questão).
A proteção do direito pessoal à privacidade é de suma importância, mas não é tratada como um direito absoluto nem na LGPD nem no GDPR. Ambas as leis fornecem um sistema de freios e contrapesos, pelo qual as exceções à aplicação de suas regras protetivas prevalecerão sob certas circunstâncias.