Regulamentos sobre Denúncia de Irregularidades e Privacidade de Dados

No atual ambiente empresarial, cada vez mais regulamentado, as organizações em toda a Europa têm de navegar numa complexa teia de requisitos de conformidade e, no caso dos regulamentos sobre denúncia de irregularidades e privacidade de dados, é necessário abordar a intersecção.

Dois domínios críticos que se cruzam frequentemente são a denúncia de irregularidades e a privacidade dos dados.

Com o aumento das leis obrigatórias de proteção de denunciantes nos Estados-Membros da UE e a aplicação rigorosa do Regulamento Geral sobre a Proteção de Dados (RGPD), nunca foi tão importante compreender como estas duas áreas interagem.

Este artigo explora a relação entre a denúncia de irregularidades e os regulamentos de proteção de dados, em particular o RGPD, oferecendo orientações práticas às organizações para garantir que os seus canais de comunicação internos estão em conformidade com as normas europeias de privacidade.

Porque é que os Regulamentos sobre Denúncia de Irregularidades e Privacidade de Dados Devem Estar Alinhados

A denúncia de irregularidades é um mecanismo crucial para descobrir e resolver casos de má conduta nas organizações, que vão desde a corrupção e a fraude ao assédio e às infracções ambientais.

No entanto, a recolha, o processamento e o armazenamento de relatórios – muitas vezes contendo dados pessoais sensíveis – devem ser efetuados em total conformidade com os regulamentos de privacidade.

Na União Europeia, o RGPD rege o tratamento de dados pessoais.

Os seus princípios aplicam-se aos procedimentos de denúncia de irregularidades da mesma forma que se aplicam a qualquer outra atividade de processamento de dados.

Isto significa que as empresas devem gerir cuidadosamente a forma como recebem, processam e conservam os relatórios de denúncia e os dados que contêm.

Se não o fizerem, não só colocam em risco o autor da denúncia e outras partes envolvidas, como também podem resultar em sanções financeiras significativas e danos para a reputação da organização.

Principais princípios do RGPD relevantes para a denúncia de irregularidades

O RGPD estabelece vários princípios fundamentais que devem ser observados aquando do tratamento de dados pessoais, incluindo no contexto da denúncia de irregularidades:

1. Legalidade, equidade e transparência

Os relatórios de denúncia devem ser recolhidos e tratados de forma legal e justa.

Embora o RGPD exija geralmente que os indivíduos sejam informados sobre a forma como os seus dados estão a ser utilizados, nos casos de denúncia aplicam-se algumas excepções.

Por exemplo, se a notificação de um indivíduo comprometer a investigação ou expor o denunciante a riscos, pode ser permitida uma isenção – mas apenas com uma justificação adequada.

2. Limitação da finalidade

Os dados pessoais recolhidos através de mecanismos de denúncia devem ser utilizados estritamente para investigar o problema comunicado.

A reorientação dos dados para utilizações não relacionadas (como avaliações de desempenho ou revisões disciplinares fora do âmbito do relatório original) constitui uma violação do RGPD.

3. Minimização de dados

Só devem ser recolhidos os dados necessários para investigar a reclamação.

As organizações devem evitar registar detalhes desnecessários ou excessivos que não sejam diretamente relevantes para o caso.

4. Exatidão

Todos os dados pessoais recolhidos devem ser exatos e atualizados.

Se a investigação concluir que determinados dados estão incorretos, estes devem ser corrigidos ou eliminados sem demora.

5. Limitação de armazenamento

Os dados pessoais não devem ser conservados mais tempo do que o necessário.

Quando uma investigação estiver concluída e não houver mais nenhuma justificação legal para conservar os dados, estes devem ser eliminados de forma segura ou tornados anónimos.

6. Integridade e confidencialidade

Este aspeto é especialmente importante no caso de denúncias.

As organizações devem proteger os relatórios dos denunciantes contra o acesso não autorizado, a perda acidental ou a divulgação.

A encriptação de dados, o acesso restrito e os sistemas de comunicação seguros são essenciais.

Anonimato vs. Confidencialidade

Existe frequentemente uma confusão entre anonimato e confidencialidade nos mecanismos de denúncia de irregularidades.

• O anonimato significa que a identidade do denunciante não é de todo conhecida pela organização. O RGPD não exige explicitamente a denúncia anónima, mas esta deve ser permitida pela legislação nacional ou pelas políticas da empresa, se for caso disso.
• A confidencialidade, por outro lado, significa que, embora a identidade do denunciante seja conhecida por pessoas designadas, não é divulgada sem o seu consentimento – exceto quando legalmente necessário.

O RGPD exige controlos rigorosos sobre o acesso às identidades dos denunciantes, quer as denúncias sejam anónimas ou não.

De facto, o considerando 39 do RGPD sublinha a importância da proteção da identidade como uma componente essencial do tratamento legal e justo dos dados.

Bases legais para o tratamento de dados de denunciantes

Nos termos do RGPD, qualquer atividade de processamento de dados tem de se basear num fundamento jurídico.

Em cenários de denúncia de irregularidades, as bases mais aplicáveis incluem:

• Obrigação legal – Se uma organização for legalmente obrigada a manter um canal de denúncia (de acordo com a Diretiva da UE relativa à denúncia de irregularidades), o tratamento de dados pessoais envolvidos na gestão desse sistema tem por base uma obrigação legal.
• Interesse legítimo – Para as organizações que não são estritamente obrigadas a manter um sistema deste tipo, a base legal pode ser o seu interesse legítimo em prevenir a má conduta ou em cumprir as normas éticas. No entanto, este interesse deve ser contrabalançado com os direitos da pessoa em causa.
• Interesse público – Em alguns casos, particularmente em instituições do sector público, o processamento pode ser necessário para uma tarefa levada a cabo no interesse público.

O consentimento não é geralmente considerado uma base adequada para o tratamento de dados de denunciantes, uma vez que o desequilíbrio de poder entre empregado e empregador pode torná-lo inválido ao abrigo do RGPD.

Direitos dos titulares de dados e denúncia de irregularidades

O RGPD concede aos titulares dos dados uma série de direitos, como o direito de aceder, retificar ou apagar os seus dados pessoais.

No entanto, quando se trata de denúncias, estes direitos podem ser limitados para salvaguardar a investigação e proteger a identidade do denunciante.

Por exemplo:

• Uma pessoa acusada num relatório de denúncia (a “parte denunciada”) tem o direito de ser informada e de aceder aos dados que lhe dizem respeito – mas apenas quando for seguro fazê-lo e não prejudicar a investigação.
• O próprio denunciante tem o direito de saber como os seus dados estão a ser tratados, a menos que tenha sido escolhida a opção de anonimato.

As organizações devem definir claramente na sua política de denúncia como irão equilibrar estes direitos concorrentes e garantir a transparência na medida do possível.

Como garantir mecanismos de denúncia em conformidade com o RGPD

1. Implementar uma política clara

As organizações devem ter uma política de denúncia por escrito que descreva os procedimentos, as salvaguardas de confidencialidade, os processos de tratamento de dados e os direitos de todas as partes envolvidas.

Esta política deve também incluir disposições específicas do RGPD.

2. Utilizar ferramentas de denúncia seguras e conformes

As plataformas digitais de denúncia utilizadas pelas empresas devem estar em conformidade com o RGPD.

Isto inclui ter encriptação adequada, registos de auditoria, restrições de acesso e armazenamento seguro de dados na UE.

3. Realizar Avaliações de Impacto sobre a Proteção de Dados (AIPD/DPIA)

Se um sistema de denúncia de irregularidades for suscetível de representar um risco elevado para os direitos e liberdades das pessoas, deve ser realizada uma AIPD.

Isto é particularmente relevante quando se trata de dados pessoais sensíveis ou de tratamento em grande escala.

4. Assegurar controlos de acesso baseados em funções

Apenas o pessoal autorizado deve ter acesso aos dados dos denunciantes.

Estas pessoas devem receber formação sobre os procedimentos de investigação e as obrigações em matéria de privacidade dos dados.

5. Formar o pessoal e promover a sensibilização

Todas as pessoas envolvidas no tratamento de denúncias – equipas de RH, responsáveis pela conformidade, consultores jurídicos – devem receber formação sobre as obrigações em matéria de proteção de dados.

A formação regular reforça as melhores práticas e minimiza o risco de violações acidentais.

6. Manter registos e documentação

O RGPD exige responsabilidade. Mantenha registos detalhados da forma como os dados dos denunciantes são tratados, incluindo quando são recebidos, quem lhes acedeu, quando foram eliminados e com que justificação.

7. Estabelecer períodos de retenção claros

Defina e documente por quanto tempo os dados do denunciante serão mantidos e garanta a existência de sistemas para a sua eliminação segura após esse período.

O papel dos Encarregados de Proteção de Dados (EPD)

Nas organizações de maior dimensão ou nas que tratam regularmente dados sensíveis, a nomeação de um Encarregado de Proteção de Dados (EPD/DPO) não é apenas recomendada – pode ser obrigatória.

O EPD desempenha um papel vital para garantir que os canais de denúncia respeitam as leis de privacidade e que qualquer processamento de dados é legalmente justificado e devidamente documentado.

Variações nacionais na implementação

Embora o RGPD forneça um quadro harmonizado, os Estados-Membros implementaram a Diretiva da UE relativa à proteção dos denunciantes com ligeiras variações, particularmente na forma como o anonimato, os canais de denúncia e as divulgações públicas são geridos.

As organizações que operam além-fronteiras devem adaptar os seus processos de denúncia à legislação local de cada país onde operam.

Portugal, por exemplo, transpôs a Diretiva da UE através da Lei n.º 93/2021, que obriga determinadas empresas a disporem de mecanismos de denúncia seguros e confidenciais e define proteções específicas para os denunciantes.

Conclusão: Encontrar o Equilíbrio entre os Regulamentos Sobre Denúncia de Irregularidades e Privacidade de Dados

A intersecção entre os regulamentos sobre denúncia de irregularidades e privacidade de dados constitui um desafio e uma oportunidade.

Quando implementado corretamente, um sistema de denúncia de irregularidades pode promover a transparência, a responsabilidade e o comportamento ético, respeitando simultaneamente os direitos e a privacidade de todos os indivíduos envolvidos.

As organizações que alinham proativamente os seus mecanismos de denúncia com os princípios do RGPD não só reduzem o risco de sanções e danos para a reputação, como também criam confiança junto dos funcionários, clientes e público em geral.

Num cenário regulamentar que continua a evoluir, manter a conformidade não é apenas uma necessidade legal – é uma vantagem estratégica.

Faça parte da conversa que está a moldar o futuro do trabalho! Marque uma reunião!

Veja outros artigos que podem ser do seu interesse.

Esperamos que tenha gostado deste artigo.

Obrigado!

Constantino Ferreira

iBlow.eu

Gostou? Subscreva para receber futuros artigos

Publicado em: 2025.05.07