Newsletters
Práticas de Compliance sob a Perspectiva da LGPD
A Lei Geral de Proteção de Dados Pessoais (LGPD), em vigor desde setembro de 2020, estabelece princípios, diretrizes e obrigações para o tratamento de dados pessoais, tendo como objetivo a proteção dos direitos e liberdades dos indivíduos, como a privacidade e a autodeterminação informativa e, na medida em que a privacidade e a proteção de dados pessoais são direitos fundamentais consagrados na Constituição Federal, e que LGPD é aplicável a toda e qualquer atividade de tratamento de dados pessoais, é essencial que as práticas internas de uma empresa, incluindo as práticas de Compliance e Prevenção à Lavagem de Dinheiro (PLD), sejam revisitadas para identificação e correção de eventuais inconformidades com a LGPD.
Com o objetivo de apresentar as melhores práticas de Compliance e Proteção de Dados Pessoais, preparamos essa leitura que traz conceitos importantes, pontos de atenção e recomendações práticas para a compatibilização das práticas mais comuns de Compliance às disposições da LGPD.
Background check no âmbito da LGPD
É conhecido como background check o processo de pesquisas em bases de dados e mídias públicas para a obtenção de dados (pessoais ou não) que possam auxiliar organizações na tomada de decisões informadas, como a contratação de fornecedores e onboarding de clientes. Este processo costuma contemplar verificação de antecedentes, avaliação de conformidade com a legislação brasileira (especialmente a Lei Anticorrupção, Lei Antiterrorismo e a Lei de Prevenção à Lavagem de Dinheiro), alinhamento com políticas internas e normas aplicáveis ao setor. Trata-se de procedimento bastante comum na rotina de negócios, sendo uma etapa de diligência usualmente adotada para avaliação de riscos e prevenção a fraudes em situações diversas, como contratação e manutenção de relações contratuais com fornecedores, parceiros comerciais e clientes; realização de investimentos e operações societárias; contratação de colaboradores e condução de investigações internas, entre outros.
Vale lembrar que, mesmo quando o cliente, parceiro ou fornecedor objeto do background check for uma pessoa jurídica, a LGPD será aplicável sempre que houver acesso, coleta ou qualquer tipo de tratamento de dados pessoais de seus representantes legais, diretores e/ou colaboradores.
Canal de denúncias na ótica do Compliance
É um canal que permite, ao público interno e/ou externo, a comunicação de eventuais desvios de conduta e a elucidação de dúvidas acerca das regras internas da organização ou empresa. Um canal de denúncias eficaz deve estar alinhado a um sistema adequado de gestão e tratamento das comunicações recebidas e é um dos elementos fundamentais na construção e manutenção da integridade dentro das organizações.
A forma como o canal de denúncias será estruturado deve ser compatível com as características e os riscos de cada modelo de negócios. De modo geral, é recomendável que o canal de denúncias:
- seja independente e imparcial, de modo que os responsáveis por receber e processar as denúncias não tenham conflitos de interesse com as questões analisadas;
- permita o registro de comunicações de maneira anônima;
- contemple procedimentos seguros nas fases de recepção e triagem das denúncias – que podem ser conduzidas por empresas terceirizadas.
Independentemente da estrutura, é natural que o processo envolva tratamento de dados pessoais. Com relação ao próprio denunciante, por vezes a coleta de seus dados somente ocorrerá quando este, de forma espontânea, decidir pela sua identificação. Porém, ainda que opte pelo anonimato, o teor da denúncia poderá conter dados pessoais e dados pessoais sensíveis de terceiros que o denunciante entenda necessários para a compreensão e apuração dos fatos alegados.
Por isso, é indispensável que a empresa adote medidas específicas para que o seu canal de denúncias esteja em conformidade com a LGPD, especialmente no que diz respeito ao tratamento dos dados recebidos por meio dele ou coletados em razão das investigações subsequentes.
O que é uma investigação interna?
A investigação interna também é atrelada ao programa de integridade da organização e consiste na apuração de eventuais suspeitas de condutas irregulares ou ilícitas praticadas ou relacionadas a colaboradores, em qualquer nível hierárquico. Uma investigação pode ser iniciada por conta de alguma denúncia recebida pelo canal de denúncias, para apurar suspeitas identificadas por outras rotinas de Compliance ou de outras áreas da organização, como Recursos Humanos e Segurança da Informação. É possível, também, que uma investigação interna seja iniciada a partir de fatores externos, como resultados de auditorias, processos administrativos ou judiciais, ou notícias veiculadas na mídia envolvendo a organização, seus administradores ou colaboradores. De modo geral, a apuração envolverá a coleta e análise de dados (podendo incluir, dentre outros, conteúdos de e-mails corporativos e outros meios corporativos de comunicação), a condução de backgrounds check, a condução de entrevistas exploratórias e/ou confirmatórias e, ao final, a elaboração de um relatório. Além da interrupção da conduta irregular e da aplicação das sanções cabíveis, as investigações internas são importantes para a adoção de medidas de remediação e prevenção de condutas similares no futuro. Em alguns casos, o resultado da investigação poderá ser compartilhado com autoridades investigativas ou regulatórias e poderá, ainda, ser utilizado como prova para a tutela dos direitos e interesses da organização em processos judiciais, administrativos ou arbitrais.
Compartilhamento de dados pessoais
Naturalmente, algumas atividades que envolvam Compliance atrelados na perspectiva de privacidade e Proteção de Dados, poderão envolver o compartilhamento de dados pessoais com terceiros. Os gatekeepers, por exemplo, ao tomarem conhecimento de transações suspeitas em suas rotinas de “Know Your Costumer”, precisam comunicar tais transações ao COAF, o que envolverá o compartilhamento de dados pessoais do cliente. O compartilhamento de dados também pode vir a ser necessário entre empresas de um mesmo grupo econômico, para fins de cumprimento das rotinas de Compliance, ou até mesmo a transferência internacional de dados. Do ponto de vista de proteção de dados, a LGPD não veda o compartilhamento de dados pessoais, mas é necessário que o compartilhamento – assim como qualquer atividade de tratamento de dados pessoais – tenha uma finalidade legítima e seja adequado aos demais princípios da lei, bem como pautado em uma das bases legais previstas na LGPD. Desse modo, é necessário analisar caso a caso a necessidade do compartilhamento e o fundamento legal que autoriza sua realização. Nesse ponto, destacamos que é um direito do titular ter informações acerca das entidades públicas e privadas com as quais o controlador compartilhe os seus dados. Portanto, para que este direito possa ser exercido, recomenda-se:
- Revisitar procedimentos internos e mapear todos os terceiros com os quais são compartilhados dados, bem como as categorias de dados que são objeto de compartilhamento;
- Incluir, em políticas de privacidade, informações claras sobre as hipóteses de compartilhamento e sobre o canal para o exercício de direitos previstos na LGPD por parte do titular de dados pessoais;
- Revisar, conforme aplicável, os contratos que envolvam uso compartilhado de dados pessoais, prevendo mecanismos para atendimento a eventuais solicitações de exercício de direitos pelos titulares, além das recomendações que estão apresentadas na cartilha completa.
Contratação de fornecedores para execução de rotinas de Compliance
As rotinas de background check, gerenciamento de canal de denúncias e condução de investigações internas podem ser terceirizadas pela empresa ou organização, especialmente quando o volume de pesquisas, denúncias e investigações for elevado.
Na medida em que estas contratações necessariamente envolvem o compartilhamento e tratamento de dados pessoais, destacamos a seguir algumas recomendações para mitigação dos riscos relacionados a proteção de dados neste contexto.
Quais cuidados devo ter na contratação de fornecedores?
Certificar-se de que os contratos com os fornecedores contenham, no mínimo: Cláusulas de proteção de dados robustas, com alocação de responsabilidades e obrigações adequada à classificação das partes como agentes de tratamento de dados pessoais, bem como adequadas ao grau de segurança e confidencialidade que é esperado em rotinas de Compliance; e Garantias quanto ao cumprimento da LGPD, boas práticas de Compliance e outras normas aplicáveis, acopladas a penalidades em caso de descumprimento; Verificação dos mecanismos de segurança aplicados na condução das atividades, solicitando, sempre que possível, evidências destes mecanismos; No caso de ferramentas terceirizadas, observar as políticas de privacidade e termos de uso das ferramentas antes da contratação, de modo a verificar se estas cumprem com a LGPD e com princípios de proteção de dados; Especialmente no caso de ferramentas de background check, obter garantias, pelo fornecedor da ferramenta de pesquisa, de que sua base de dados é constituída de forma lícita. Inclusive, é recomendável obter do fornecedor, sempre que possível, garantia de que as bases públicas de dados utilizadas nas consultas (sites de órgãos públicos, portais de tribunais, entre outros), não possuem restrição à utilização de ferramentas de pesquisa utilizadas por tais fornecedores.
É recomendável, por fim, o estabelecimento de um procedimento interno estruturado de auditoria/análise de fornecedores, com o intuito de apurar o atendimento do fornecedor às regras estabelecidas pela LGPD, bem como registrar internamente que essa análise foi realizada, para fins de accountability.
Retenção e descarte de dados pessoais
A LGPD não determina um período específico pelo qual os dados pessoais devem ser guardados ou quando devem ser excluídos. Assim, cabe à organização verificar a finalidade e a necessidade do armazenamento para definir o prazo de retenção de dados adequado a cada atividade. No caso das rotinas de Compliance abordadas na cartilha produzida por nossos especialistas, o prazo de retenção poderá variar em função dos resultados que forem obtidos em cada processo e dos procedimentos que forem adotados em função desses resultados. Por exemplo: em um background check prévio à contratação de um colaborador para um cargo cujo grau de fidúcia justifique a verificação de antecedentes, se as pesquisas não indicarem riscos e a contratação for efetivada, não há, em regra, necessidade e finalidade que justifiquem a manutenção destes dados pela organização ou empresa, sendo recomendável a exclusão após o encerramento do processo seletivo. Por outro lado, dados resultantes dessas rotinas que possam ser necessários para formação de conjunto probatório em eventuais ações judiciais, administrativas ou arbitrais terão seu prazo de retenção atrelado aos prazos prescricionais aplicáveis. Por fim, há situações em que o prazo de retenção será diretamente atrelado a alguma obrigação legal, como o prazo mínimo de 5 anos estabelecido pela Lei de Lavagem de Dinheiro, pelo qual os gatekeepers devem guardar os cadastros de seus clientes e o registro das transações.
Transferência internacional de dados pessoais
No contexto de organizações e empresas multinacionais, assim como na apuração de prática de atos contra a administração pública nacional ou estrangeira (Lei Anticorrupção), poderá ser necessária a transferência de dados pessoais coletados no Brasil para país estrangeiro ou organismo internacional do qual o país seja membro. Do ponto de vista de proteção de dados, a LGPD estabelece que a transferência internacional de dados pessoais somente é permitida mediante cumprimento de alguma das hipóteses autorizativas previstas nos artigos 33 e seguintes da lei.27 As hipóteses autorizativas da LGPD para a transferência internacional de dados incluem, dentre outras, o reconhecimento, pela ANPD, de que o país de destino dos dados proporciona grau de proteção a dados pessoais equivalente ao garantido pela LGPD. Na ausência de posicionamento deste sentido, outra opção é a adoção de salvaguardas que visem respaldar esta transferência, como, por exemplo, a adoção de cláusulas padrão contratuais, a serem sugeridas pela própria autoridade e implementadas pelas partes em contratos que envolvam a transferência de dados para outras jurisdições. Uma alternativa, também, é a adoção de normas corporativas globais, que estabelecem regras e padrões para o tratamento de dados pessoais dentro de um mesmo grupo econômico multinacional. Contudo, até junho de 2023, a ANPD não regulamentou estas hipóteses, de modo que as regras previstas pela LGPD para transferência internacional de dados ainda não possuem eficácia. Para mitigar os riscos associados a este tema durante a pendência da regulamentação, as empresas e organizações podem buscar garantias contratuais em contratos que envolvam a transferência internacional de dados pessoais, de modo a obter garantias de que o tratamento de dados realizado no exterior respeitará os termos estabelecidos pela LGPD. Importante destacar que as situações envolvendo transferência internacional de dados costumam levar à aplicação de leis de jurisdições diversas, considerando as regras de extraterritorialidade de aplicação da LGPD.28 Assim, é recomendável a análise casuística das leis aplicáveis em todas as jurisdições envolvidas, de modo a evitar riscos decorrentes de conflitos de legislação
Governança Interna – Cumulação de Funções DPO e CCO
Desde a entrada em vigor da LGPD, tem sido comum que as empresas indiquem, como encarregado por proteção de dados – ou Data Protection Officer (DPO) –, profissional que já exercia a função de Chief Compliance Officer (CCO) da empresa – seguindo uma tendência que já se observava na Europa, desde a vigência do GDPR. A cumulação de funções de DPO e CCO por um mesmo profissional, a princípio, não é vedada pela LGPD, tampouco pelo GDPR. Contudo, existem discussões sobre a possibilidade e limites de cumulação de tais funções, considerando o risco de conflitos de interesses. Este, inclusive, foi o entendimento de uma decisão proferida em 2020 pela Autoridade de Proteção de Dados da Bélgica,29 que multou uma empresa por entender que tal cumulação de funções criava conflito de interesses e, assim, violava o GDPR. Mais recentemente, a Court of Justice of the European Union (CJEU) analisou caso de cumulação de função de DPO que também ocupava o cargo de presidente do conselho de trabalhadores da empresa, apontando, em sua decisão, que o DPO não pode ser incumbindo de realizar tarefas ou obrigações que possam prejudicar a execução de funções desempenhadas em razão de sua atuação como DPO, de modo a preservar sua independência funcional. Disso decorre, de acordo com a decisão, que o DPO não poderia ser incumbido de tarefas ou obrigações que resultem na determinação de objetivos e métodos para o tratamento de dados pessoais.30 Tais decisões demonstram a importância de serem observados alguns cuidados pelas empresas que optam pela cumulação de funções de DPO e CCO. Enquanto o GDPR prevê expressamente que o DPO pode realizar outras tarefas dentro da organização, desde que não haja conflito de interesses com as atividades relacionadas à proteção de dados, a LGPD é silente neste aspecto. Contudo, vale lembrar que a ANPD poderá estabelecer normas complementares sobre a definição e as atribuições do encarregado,31 que podem adotar critérios semelhantes aos do GDPR.
Para saber os principais pontos de atenção e recomendações para a compatibilização das práticas mais comuns de Compliance às disposições da Lei Geral de Proteção de Dados Pessoais acesse nossa cartilha “Práticas de Compliance sob a Perspectiva de Privacidade e Proteção de Dados”.
Tem alguma dúvida? Entre em contato com a nossa equipe marketing@lefosse.com
