Por Lilian Fonseca, consultora de Investigação, e Eloiza Oliveira, gerente de Investigação, ambas atuam na ICTS Protiviti,

A busca pelo combate à fraude e à corrupção é cada vez mais frequente e intensa nas empresas. Além de uma ameaça direta à perenidade e ao desenvolvimento dos negócios, tais irregularidades têm como consequência a perda de credibilidade diante de um mercado que está ainda mais consciente e exigente sobre a importância de práticas sustentáveis pautadas em valores éticos e em compliance.

Nas situações não passíveis de prevenção, ou seja, quando uma irregularidade já ocorreu, essa busca entra em cena como investigação corporativa, tendo o objetivo de identificar os responsáveis e indicar possíveis vulnerabilidades sistêmicas ou de governança que possibilitaram tal execução. Assim, é possível mitigar os riscos para que a empresa tome medidas cabíveis e se preserve de outros eventos semelhantes.

Para cumprir este objetivo, o tratamento de informações sensíveis é inevitável. Isso porque, durante uma análise, os investigadores possuem acesso amplo aos equipamentos corporativos dos investigados. Por meio deles são extraídas, muitas vezes, evidências robustas que respaldam a tomada de decisão. Porém, no atual contexto de vigência da Lei Geral de Proteção de Dados (LGPD), há um novo desafio: garantir a continuidade do combate à fraude e à corrupção no meio empresarial sem que a Lei seja transgredida pela própria organização ou pelos encarregados de executar as abordagens investigativas.

Nessas ocasiões, o acesso aos dispositivos eletrônicos e caixas de e-mails corporativos de atuais ou antigos colaboradores ou o monitoramento das atividades realizadas no equipamento profissional do potencial fraudador, desde que descrito na política corporativa de segurança de informações e privacidade, são comumente conduzidos por consultorias independentes, que são contratadas por seus clientes para a apuração e o cruzamento de informações, tendo seu devido contexto, necessidade e objetivo.

Temos aqui um primeiro impasse a ser considerado com a LGPD: o acesso a dados pessoais de uma organização por um agente externo. A imparcialidade da investigação deve garantir que serão explorados apenas os dados sobre os quais há relação direta ao contexto trazido pelo próprio cliente durante a contratação dos serviços. Por exemplo, num trabalho cuja motivação trata-se de denúncia de assédio moral por parte de um funcionário e o monitoramento eventualmente dá acesso ao endereço de sua residência, não é coerente que esta informação faça parte das apurações.

Além da cautela com a imparcialidade e a coerência do objetivo da investigação, há o comprometimento preestabelecido entre a consultoria e o cliente com a confidencialidade dos trabalhos realizados, de modo a restringir o acesso unicamente ao contratante – esse, deve ser um fator sempre presente em qualquer trabalho legítimo de combate à fraude e à corrupção. Portanto, é essencial documentar formalmente a coleta forense de dados para uma investigação com cadeia de custódia e ata notarial atestando os procedimentos adotados, bem como estabelecer com clareza junto ao cliente o devido descarte das informações após o fim das análises, evitando o vazamento a terceiros.

Também é importante refletir sobre o resguardo do acesso a dados neste contexto. Apesar da LGPD não mencionar investigações corporativas, é possível obter amparo por meio do artigo 7º, inciso IX, sobre em quais situações o tratamento de dados pessoais pode ser realizado: “quando necessário para atender os interesses legítimos do controlador ou de terceiros”, desde que seja realizada a avaliação de riscos e sejam aplicados e documentados controles de minimização para eventuais comprovações no caso de questionamentos pela ANPD (Autoridade Nacional de Proteção de Dados). Assim, pode-se dizer que a empresa, no papel de detentor dos dados de seus equipamentos, ferramentas e estruturas tecnológicas, tem o direito de requerer e autorizar o tratamento das informações ali contidas para atender aos seus interesses, inclusive para combater a ocorrência de eventos fraudulentos.

Nessa perspectiva, as investigações corporativas não serão prejudicadas ou comprometidas pela LGPD, desde que sejam capazes de se adaptar aos cuidados propostos, a partir do aperfeiçoamento de ferramentas e cautela sobre o acesso, tratamento e descarte de informações. Superando tais obstáculos, os trabalhos investigativos em empresas obtêm, inclusive, contribuição à Lei.