LGPD e investigação corporativa: o que é permitido e o que pode invalidar suas provas

A LGPD não proíbe investigações. Ela exige que sejam feitas corretamente.

Existe uma percepção equivocada de que a Lei Geral de Proteção de Dados (Lei 13.709/2018) impede as empresas de investigar fraudes e irregularidades internas. Isso não é verdade. A LGPD prevê bases legais que permitem o tratamento de dados pessoais em contextos investigativos. O que ela exige é que esse tratamento seja feito com base legal adequada, proporcionalidade e documentação.

As bases legais aplicáveis a investigações

Legítimo interesse (art. 7º, IX): a empresa tem legítimo interesse em investigar condutas ilícitas que afetem seu patrimônio, seus clientes ou sua operação. Essa é a base mais frequentemente utilizada em investigações corporativas.

Exercício regular de direitos em processo (art. 7º, VI): quando a investigação visa produzir provas para uso em processo judicial, arbitral ou administrativo.

Cumprimento de obrigação legal (art. 7º, II): quando a empresa é obrigada por lei a investigar, como nos casos de programas de compliance exigidos pela Lei Anticorrupção.

O que pode e o que não pode

Permitido:

• Monitorar e-mail corporativo (o e-mail é da empresa, não do funcionário)
• Analisar dados de sistemas e ferramentas corporativas
• Consultar bases públicas sobre o investigado
• Coletar depoimentos voluntários
• Contratar investigação externa com base em legítimo interesse
• Analisar registros de acesso e logs de sistemas

Zona de risco:

• Monitorar dispositivos pessoais do funcionário (mesmo conectados à rede da empresa)
• Acessar contas pessoais de e-mail ou redes sociais
• Gravar conversas telefônicas sem conhecimento de pelo menos uma das partes
• Compartilhar dados da investigação com terceiros sem base legal

Proibido:

• Interceptar comunicações privadas sem autorização judicial
• Acessar dispositivos pessoais sem consentimento
• Coletar dados sensíveis (saúde, orientação sexual, religião) sem base legal específica
• Transferir dados do investigado para fora do país sem amparo legal

Como documentar para proteção jurídica

Toda investigação corporativa deve ser documentada com: relatório de impacto à proteção de dados (RIPD), identificação da base legal utilizada, justificativa da necessidade e proporcionalidade da investigação, registro de quem teve acesso aos dados coletados e prazo de retenção dos dados após conclusão da investigação.

Essa documentação serve tanto para demonstrar conformidade com a LGPD quanto para sustentar a licitude das provas obtidas caso sejam questionadas em juízo.

O papel do DPO na investigação

O Encarregado de Proteção de Dados deve ser informado sobre a investigação, mas não necessariamente envolvido nos detalhes operacionais. Seu papel é garantir que a coleta e o tratamento de dados estejam em conformidade com a LGPD, sem comprometer o sigilo da investigação.