A Lei Geral de Proteção de Dados Pessoais (Lei nº 13.709/2018) exige que as empresas informem previamente às pessoas (titulares de dados) sobre como seus dados pessoais serão tratados, de maneira clara, ostensiva e acessível, e determina as informações mínimas a serem fornecidas a elas. Mencionados requisitos fazem parte dos princípios da transparência, livre acesso e adequação, previstos no artigo 6º da Lei, os quais buscam impedir que as empresas usem os dados pessoais de forma imprevisível ou prejudicial aos indivíduos.

Nas investigações internas, sejam relacionadas às condutas antiéticas ou ilegais dos colaboradores, o cumprimento desses princípios e obrigações é imprescindível, entretanto podem apresentar desafios práticos, especialmente quando a empresa não tem uma política de proteção de dados pessoais e de monitoramento abrangentes, podendo o uso dos dados pessoais dos colaboradores para fins de investigação ser considerado inadvertido e danoso para esses colaboradores.

Além dos requisitos acima mencionados é importante que, para que ocorra o monitoramento das comunicações corporativas dos colaboradores (seja e-mail, chat, WhatsApp, telefone ou outra fornecida pela empresa), a empresa seja transparente sobre a interceptação, rastreabilidade e monitoramento de suas comunicações, seja por meio de políticas escritas seja na consistência de suas condutas. Obviamente que quando há monitoramento de comunicações corporativas, existe a possibilidade de a empresa ter acesso a dados pessoais dos colaboradores, o que deve também estar claro na política.

No contexto das investigações internas, a proteção de dados e da comunicação obrigam as organizações a serem explícitas com os colaboradores sobre como seus dados pessoais e suas comunicações são usadas, a fim de garantir que eventual interceptação e seu subsequente uso e/ou divulgação sejam viáveis e legalmente embasados, evitando reivindicações futuras de violação de privacidade dos colaboradores.

É importante que as investigações internas observem pelo menos os seguintes pontos:

• Os registros dos procedimentos investigatórios devem ser confidenciais e mantidos em sigilo;
• Os dados pessoais acessados devem fundamentar as conclusões das investigações;
• A empresa não têm direito irrestrito de acesso a todos os dados pessoais mantidos sobre o colaborador e deve acessar apenas aqueles dados pessoais relevantes para o assunto que está sendo investigado, ou seja, não há justificativa para acessar as informações relacionadas à saúde do colaborador se a investigação não é sobre este tema, por exemplo;
• Deve-se ter um procedimento claro e escrito de como a empresa lidará com as investigações;
• Os direitos de acesso aos dados pessoais dos colaboradores pela empresa devem observar todos os preceitos da LGPD.

Outro ponto relevante são as denúncias, assim, as empresas, em suas políticas devem incluir um tópico para elas, devendo, no caso de ocorrerem, respeitar os princípios de proteção de dados, incluindo não apenas o anonimato do denunciante como também salvaguardas para o relatório de denúncia e quaisquer terceiros nele mencionados. As empresas também precisarão garantir que apenas os dados pessoais necessários à investigação de uma denúncia sejam tratados.

Ao procederem uma investigação interna onde haverá o tratamento de dados pessoais, as empresas devem redobrar a atenção caso venham a lidar com dados pessoais sensíveis, uma vez que estes estão sujeitos a maior restrição legal.

Para a realização de investigações internas, as empresas normalmente contratam terceiros para lhes auxiliarem, os quais demandam acesso aos dados pessoais dos colaboradores para que possam prestar seus serviços. Nestes casos, a empresa deve celebrar contrato de prestação de serviços com esse terceiro, estabelecendo, dentre outras disposições, o objeto do tratamento de dados e a sua duração, a natureza e a finalidade do tratamento, o tipo de dados pessoais, obrigações de sigilo, bem como determinadas obrigações contratuais que possam garantir inclusive o pagamento de multas e indenizações em caso de incidente de vazamento ocasionado por ação ou omissão deste prestador.

Para a elaboração de políticas, procedimentos e contratos envolvendo investigações internas diante do cenário da proteção de dados, bem como treinamentos, conte com a assessoria jurídica do Pinheiro Villela Advogados.