{"id":45226,"date":"2020-08-25T09:28:43","date_gmt":"2020-08-25T09:28:43","guid":{"rendered":"http:\/\/obegef.pt\/wordpress\/?p=45226"},"modified":"2020-09-23T18:38:09","modified_gmt":"2020-09-23T18:38:09","slug":"ai-que-eu-caio-segurem-me-que-eu-caio-2-2-3-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-2-3-2-2-2-2-2-2-2-2-2-2-2-7-2-2-2-3-2-4-3-3-2-2-3-2-2-2-2-2-3-2-2-2-2-2-2-2-2-2-2-3-2-2-2-2-2-20","status":"publish","type":"post","link":"https:\/\/obegef.pt\/wordpress\/?p=45226","title":{"rendered":"Impactos da Legisla\u00e7\u00e3o de Prote\u00e7\u00e3o de Dados nas investiga\u00e7\u00f5es de fraudes"},"content":{"rendered":"

Aldo Andretta Junior <\/b><\/span><\/b><\/span>, Vis\u00e3o online<\/p>\n

\"\"<\/a>\"\"<\/a><\/p>\n

Discorreremos sobre os cuidados necess\u00e1rios na investiga\u00e7\u00e3o de fraudes, com a vig\u00eancia das legisla\u00e7\u00f5es de prote\u00e7\u00e3o de dados na Europa e Brasil?<\/p>\n

<\/p>\n

Caros leitores, come\u00e7o por referir que sou brasileiro escrevendo a partir do Brasil, para melhor se compreender que a minha cr\u00f3nica versa sobre uma compara\u00e7\u00e3o de alguns par\u00e2metros das leis europeia e brasileira, no que concerne \u00e0 legisla\u00e7\u00e3o de prote\u00e7\u00e3o de dados.<\/p>\n

Aqui no Brasil vivemos sob a expectativa (e apreens\u00e3o) da entrada em vigor de nossa Lei Geral de Prote\u00e7\u00e3o de Dados \u2013 LGPD, que tende a ser em mar\u00e7o de 2021.\u00a0 At\u00e9 por necessidade de adapta\u00e7\u00e3o, a lei brasileira guarda muita similaridade com o Regulamento Geral de Prote\u00e7\u00e3o de Dados \u2013 RGPD, da Uni\u00e3o Europeia.<\/p>\n

Tanto em uma quanto na outra legisla\u00e7\u00e3o a preocupa\u00e7\u00e3o principal \u00e9 com os dados pessoais de clientes. Mas tamb\u00e9m h\u00e1 de se ter a aten\u00e7\u00e3o quando se trata da utiliza\u00e7\u00e3o de dados pessoais de funcion\u00e1rios, sobretudo pelo Compliance, em todos os seus pilares, principalmente quando falamos de investiga\u00e7\u00f5es de fraudes internas. E o entendimento n\u00e3o nos parece t\u00e3o simples!<\/p>\n

Primeiramente, lembramos que as legisla\u00e7\u00f5es limitam a utiliza\u00e7\u00e3o de dados pessoais, sendo que para tanto \u00e9 necess\u00e1ria a exist\u00eancia de uma justificativa (base legal) que atenda a finalidade a que se destina. Pode ser porque o titular dos dados deu seu consentimento, interesse p\u00fablico, dentre outras. Mas para efeitos deste texto, e falarmos especificamente sobre investiga\u00e7\u00f5es de fraudes, vamos nos prender em tr\u00eas bases legais que s\u00e3o a Execu\u00e7\u00e3o de Contrato, o Leg\u00edtimo Interesse e a Obriga\u00e7\u00e3o Legal.<\/p>\n

Quando falamos em rela\u00e7\u00f5es de trabalho, o RGPD seja \u00a0descreve, em seu artigo 88, como devem ser tratados os dados pessoais, tanto para efeitos de recrutamento quanto para execu\u00e7\u00e3o de contrato de trabalho, incluindo \u201co cumprimento das obriga\u00e7\u00f5es previstas no ordenamento jur\u00eddico ou em conven\u00e7\u00f5es coletivas, de gest\u00e3o, planeamento e organiza\u00e7\u00e3o do trabalho, de igualdade e diversidade no local de trabalho, de sa\u00fade e seguran\u00e7a no trabalho, de prote\u00e7\u00e3o dos bens do empregador ou do cliente e para efeitos do exerc\u00edcio e gozo, individual ou coletivo, dos direitos e benef\u00edcios relacionados com o emprego, bem como para efeitos de cessa\u00e7\u00e3o da rela\u00e7\u00e3o de trabalho\u201d<\/em>. Entendemos, pela leitura do artigo em quest\u00e3o que as normas internas se incluem neste contexto, consequentemente as regras de Compliance.<\/p>\n

Em apoio a este entendimento, isso fica mais claro quando analisado o C\u00f3digo de Trabalho Portugu\u00eas (lei 99\/2003). A obra de Regina Linden Ruaro e Eug\u00eanio Hainzenreder Junior sobre a prote\u00e7\u00e3o e privacidade no trabalho, ao buscar subs\u00eddios na legisla\u00e7\u00e3o estrangeira, mostra que o artigo 150 traz que: \u201cO Poder de Dire\u00e7\u00e3o. Compete ao empregador, dentro dos limites decorrentes do contrato e das normas que o regem, fixar os termos em que deve ser prestado o trabalho<\/em>. \u201d1<\/sup><\/p>\n

Ocorre que no ambiente europeu, o empregador encontra guarida para se apoiar nesta fundamenta\u00e7\u00e3o para tratativa dos dados de seus funcion\u00e1rios, quando se trata de verificar eventuais viola\u00e7\u00f5es \u00e0s regras de trabalho ou prote\u00e7\u00e3o ao seu patrim\u00f4nio. Mas no ambiente brasileiro ser\u00e1 necess\u00e1rio um exerc\u00edcio para utiliza\u00e7\u00e3o desta base jur\u00eddica, pois a nossa LGPD n\u00e3o traz a mesma previs\u00e3o legal. Para tanto, ser\u00e1 necess\u00e1rio apoio na doutrina para o entendimento de que normas internas fazem parte do contrato de trabalho e, portanto, as regras de Compliance. Alguns juristas brasileiros entendem que as normas internas estariam presentes no poder de dire\u00e7\u00e3o e que teria o empregador o direito de definir como ser\u00e1 desenvolvida a presta\u00e7\u00e3o de servi\u00e7os, podendo \u201cser sintetizadas nos atos de regulamentar a rela\u00e7\u00e3o de emprego, distribuir, dirigir, orientar e fiscalizar, adequar a presta\u00e7\u00e3o \u00e0s necessidades da empresa e impor san\u00e7\u00f5es disciplinares ao empregado faltoso\u201d<\/em>2<\/sup>. E nesse entendimento, a legisla\u00e7\u00e3o trabalhista brasileira (CLT \u2013 Consolida\u00e7\u00e3o das Leis do Trabalho), disp\u00f5e, no artigo 482, os motivos pelos quais o empregador pode demitir seus funcion\u00e1rios por motivo justificado, dentre eles ato de Improbidade (al\u00ednea a), incontin\u00eancia de conduta e mau procedimento (al\u00ednea b) e indisciplina e insubordina\u00e7\u00e3o (al\u00ednea h). E para caracteriza\u00e7\u00e3o da falta grave \u00e9 necess\u00e1rio que os procedimentos internos estejam muito bem descritos e que seja feita uma apura\u00e7\u00e3o interna fundamentada, que pode ser discutida na esfera judicial.<\/p>\n

Mas h\u00e1 entendimento tanto quanto no RGPD quanto na LGPD que a base legal para justificar uma investiga\u00e7\u00e3o interna seria o Leg\u00edtimo Interesse, porque o contrato de trabalho regularia a atividade em si e n\u00e3o aspectos lesivos praticados por funcion\u00e1rios, a qual em tese n\u00e3o guardaria rela\u00e7\u00e3o com a atividade desenvolvida. A fundamenta\u00e7\u00e3o estaria na prote\u00e7\u00e3o do patrim\u00f4nio do empregador. A exemplo disso, no Brasil temos nossa Constitui\u00e7\u00e3o Federal (art. 5\u00ba, XXII) e C\u00f3digo Civil (art. 188, I), que trazem que dentro dos limites legais \u00e9 leg\u00edtimo ato para um exerc\u00edcio regular de direito para prote\u00e7\u00e3o do patrim\u00f4nio.<\/p>\n

Nessa mesma linha, nossa Lei de Prote\u00e7\u00e3o de Dados traz em seu artigo 10, II e disp\u00f5e que \u00e9 Legitimo Interesse a sua prote\u00e7\u00e3o, a fim \u201cdo exerc\u00edcio regular de seus direitos<\/em>\u201d.<\/p>\n

Outro aspecto a ser discutido quando falamos da legitima\u00e7\u00e3o de programas de Compliance frente \u00e0 LGPD, seria a Obriga\u00e7\u00e3o Legal ou Regulat\u00f3rias, prevista no artigo 7\u00ba, II. A exemplo disso, s\u00e3o as empresas listadas na Bolsa de Valores de Nova Iorque, pois s\u00e3o obrigadas a seguir e implementar controles exigidos pela Sarbanes-Oxley, sendo que dentro das regras est\u00e1 a manuten\u00e7\u00e3o de canal de den\u00fancias e fazer seu devido tratamento. H\u00e1, tamb\u00e9m, outros setores regulados, como o banc\u00e1rio, com suas regras espec\u00edficas quanto \u00e0 mat\u00e9ria.<\/p>\n

Sendo assim, para essas empresas fazerem uma investiga\u00e7\u00e3o de fraudes internas n\u00e3o \u00e9 uma op\u00e7\u00e3o, mas sim uma obriga\u00e7\u00e3o, caso a empresa queira ter suas a\u00e7\u00f5es negociadas naquela bolsa, encontrando o respaldo na legisla\u00e7\u00e3o para isso.<\/p>\n

Mas seja qual for a base legal de tratativa de dados que cada empresa entenda ser cab\u00edvel ao seu neg\u00f3cio, consideramos que para a realiza\u00e7\u00e3o de investiga\u00e7\u00e3o interna devem ser adotados alguns requisitos essenciais.<\/p>\n

O primeiro deles \u00e9 que todos os funcion\u00e1rios tenham conhecimento de que seus dados pessoais poder\u00e3o ser utilizados no caso de investiga\u00e7\u00e3o interna, quer seja por dispositivo no contrato de trabalho, por cumprimento ao C\u00f3digo de \u00c9tica (ou conduta) ou por cumprimento das regras de Compliance. Estar documentado quanto a esta ci\u00eancia ajudar\u00e1 a empresa a justificar a utiliza\u00e7\u00e3o dos dados independentemente da base legal. Os investigadores devem assinar termos espec\u00edficos se comprometendo com a confidencialidade dos dados e o compromisso de n\u00e3o acessar dados sem que seja para as atividades desenvolvidas.<\/p>\n

Outro ponto importante \u00e9 comprovar o motivo da utiliza\u00e7\u00e3o dos dados. E essa justificativa \u00e9 feita por meio do registro de uma den\u00fancia pelos canais oficiais da empresa e, consequentemente, por um plano de investiga\u00e7\u00e3o, no qual constar\u00e1 quais s\u00e3o os dados necess\u00e1rios para atender a finalidade, ou seja, cumprir o objetivo da den\u00fancia. Ou seja, aqui deve ser cumprido um dos requisitos da lei que \u00e9 a utiliza\u00e7\u00e3o de dados m\u00ednimos. Se uma den\u00fancia diz respeito a um ass\u00e9dio moral, importar\u00e1 o nome, registro funcional e o hist\u00f3rico profissional dentro da empresa. N\u00e3o ser\u00e1 necess\u00e1ria, por exemplo, a obten\u00e7\u00e3o de nome de familiares porque em um primeiro momento n\u00e3o \u00e9 pertinente a investiga\u00e7\u00e3o, a n\u00e3o ser que se justifiquem por algum motivo que deve ser fundamentado.<\/p>\n

Tamb\u00e9m devem haver acompanhamento e os cuidados necess\u00e1rios para que o investigador tenha acesso apenas \u00e0queles dados estabelecidos no plano de investiga\u00e7\u00e3o. Se durante a investiga\u00e7\u00e3o algum dado pessoal for obtido sem ter a pertin\u00eancia aos trabalhos, devem ser imediatamente descartados. Isso \u00e9 comum acontecer quando na realiza\u00e7\u00e3o de Per\u00edcia Forense em dispositivos eletr\u00f4nicos. Por isso a busca com palavras-chave contribui para manter o escopo do plano de trabalho.<\/p>\n

Em entrevistas, sejam explorat\u00f3rias quanto confirmat\u00f3rias, inevitavelmente s\u00e3o colhidos dados pessoais, sendo que aqueles que n\u00e3o t\u00eam pertin\u00eancia aos trabalhos realizados tamb\u00e9m devem ser descartados. Muitas vezes, no in\u00edcio das entrevistas, em um processo conhecido como calibra\u00e7\u00e3o, algumas perguntas acabam sendo de cunho pessoal, recomendamos que elas sejam substitu\u00eddas.<\/p>\n

Os relat\u00f3rios devem conter apenas os dados pessoais pertinentes \u00e0quilo que foi proposto. Aqueles que n\u00e3o acrescentam nada \u00e0 conclus\u00e3o do caso n\u00e3o devem ser mencionados. H\u00e1 de se ter o cuidado necess\u00e1rio com a divulga\u00e7\u00e3o do relat\u00f3rio para as \u00e1reas pertinentes, por exemplo, ao departamento jur\u00eddico e ao Comit\u00ea de \u00c9tica (ou conduta), que tamb\u00e9m devem firmar seu compromisso de confidencialidade.<\/p>\n

Principalmente se a empresa entender a base legal para utiliza\u00e7\u00e3o de dados pessoais em uma investiga\u00e7\u00e3o interna \u00e9 o Leg\u00edtimo Interesse, devem ser seguidas as recomenda\u00e7\u00f5es sugeridas pela Information Commissioner\u2019s Office \u2013 ICO (autoridade independente que regula a Prote\u00e7\u00e3o de Dados no Reino Unido) a fim de determinar:<\/p>\n

\u201cTeste de objetivo: o objetivo do processamento \u00e9 um interesse leg\u00edtimo?<\/p>\n

Teste de necessidade: o processamento dos dados \u00e9 necess\u00e1rio e proporcional \u00e0 finalidade?<\/p>\n

Teste de equil\u00edbrio: o interesse leg\u00edtimo \u00e9 substitu\u00eddo pelos interesses do indiv\u00edduo?\u201d3<\/sup><\/p>\n

Emendemos que estas perguntas, com suas devidas adapta\u00e7\u00f5es, devem estar presentes independentemente da base legal escolhida pela empresa.<\/p>\n

Nosso objetivo n\u00e3o \u00e9 esgotar o tema, mas trazer algumas reflex\u00f5es sobre a aplicabilidade das legisla\u00e7\u00f5es de prote\u00e7\u00e3o de dados aos programas de Compliance e \u00e0s investiga\u00e7\u00f5es de fraudes. Aqui no Brasil, ainda temos algumas indefini\u00e7\u00f5es, sobretudo com a constitui\u00e7\u00e3o de nossa entidade reguladora, que ainda est\u00e1 pendente. Mas, com toda a certeza, nos apoiaremos no RGPD para termos um entendimento correto da nossa legisla\u00e7\u00e3o, que fez seu segundo anivers\u00e1rio, mas por motivo da pandemia ainda n\u00e3o teve sua vig\u00eancia. Ainda h\u00e1 muito a ser aprofundado sobre o tema.<\/p>\n

_________________________________________<\/p>\n

[1] Ruaro, Regina Linden e Hainzenreder, Eug\u00eanio. PROTE\u00c7\u00c3O DA PRIVACIDADE NO CONTRATO DE TRABALHO: DA NORMATIZA\u00c7\u00c3O LEGAL A SITUA\u00c7\u00d5ES DE CONFLITOS, p\u00e1g. 9, dispon\u00edvel em: Dialnet-ProtecaoDaPrivacidadeNoContratoDeTrabalho-7277372.pdf<\/p>\n

2 Idem<\/p>\n

3 Tradu\u00e7\u00e3o livre: Dispon\u00edvel em: https:\/\/globalinvestigationsreview.com\/benchmarking\/the-practitioner%E2%80%99s-guide-to-global-investigations-fourth-edition\/1212406\/data-protection-in-investigations<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Aldo Andretta Junior , Vis\u00e3o online Discorreremos sobre os cuidados necess\u00e1rios na investiga\u00e7\u00e3o de fraudes, com a vig\u00eancia das legisla\u00e7\u00f5es de prote\u00e7\u00e3o de dados na Europa e Brasil?<\/p>\n","protected":false},"author":1677,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_bbp_topic_count":0,"_bbp_reply_count":0,"_bbp_total_topic_count":0,"_bbp_total_reply_count":0,"_bbp_voice_count":0,"_bbp_anonymous_reply_count":0,"_bbp_topic_count_hidden":0,"_bbp_reply_count_hidden":0,"_bbp_forum_subforum_count":0,"_exactmetrics_skip_tracking":false,"_exactmetrics_sitenote_active":false,"_exactmetrics_sitenote_note":"","_exactmetrics_sitenote_category":0,"footnotes":""},"categories":[72,123],"tags":[],"class_list":["post-45226","post","type-post","status-publish","format-standard","hentry","category-cronicas","category-visao-online"],"_links":{"self":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/45226","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/users\/1677"}],"replies":[{"embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=45226"}],"version-history":[{"count":2,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/45226\/revisions"}],"predecessor-version":[{"id":45230,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=\/wp\/v2\/posts\/45226\/revisions\/45230"}],"wp:attachment":[{"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=45226"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=45226"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/obegef.pt\/wordpress\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=45226"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}