Por Equipe Bforense — A Lei Geral de Proteção de Dados (Lei 13.709/2018) transformou radicalmente o cenário de investigações corporativas internas no Brasil. O que antes era uma atividade conduzida com relativa liberdade — acessar e-mails corporativos de funcionários suspeitos, monitorar comunicações, analisar logs de acesso e revisar documentos pessoais armazenados em dispositivos da empresa — agora opera dentro de um marco regulatório rigoroso que impõe limites claros, exige bases legais específicas e prevê sanções significativas para quem viola seus preceitos.

Para departamentos de compliance, escritórios de advocacia e agências de inteligência privada como a Bforense, a LGPD não é um obstáculo — é um parâmetro. Investigações internas conduzidas em conformidade com a lei produzem provas mais robustas, resistem ao escrutínio judicial e protegem a organização tanto contra a conduta investigada quanto contra alegações de abuso por parte dos investigados. Investigações conduzidas em desconformidade, por outro lado, não apenas geram riscos de sanções administrativas e judiciais, mas comprometem a admissibilidade das provas produzidas — potencialmente invalidando toda a apuração.

Neste artigo, a equipe da Bforense analisa em profundidade os limites e as possibilidades que a LGPD impõe às investigações corporativas internas, oferecendo um roteiro prático para organizações que precisam apurar irregularidades sem violar direitos de titulares de dados.

Bases Legais para Tratamento de Dados em Investigações Internas

A LGPD estabelece em seu artigo 7o dez bases legais que autorizam o tratamento de dados pessoais. Em contexto investigativo, três delas são particularmente relevantes: o legítimo interesse, a execução de contrato e o exercício regular de direitos em processo judicial, administrativo ou arbitral.

O legítimo interesse (artigo 7o, inciso IX) é a base legal mais frequentemente invocada para investigações internas. A lei autoriza o tratamento de dados pessoais "quando necessário para atender aos interesses legítimos do controlador ou de terceiro, exceto no caso de prevalecerem direitos e liberdades fundamentais do titular que exijam a proteção dos dados pessoais". A empresa tem legítimo interesse em investigar condutas que possam configurar fraude, desvio de recursos, corrupção, assédio ou qualquer outra irregularidade que afete seus interesses e os interesses de seus stakeholders.

Contudo, o legítimo interesse não é um cheque em branco. O artigo 10 da LGPD impõe limites importantes: o tratamento deve ser realizado apenas para "finalidades legítimas, consideradas a partir de situações concretas"; deve haver uma "expectativa legítima" do titular em relação ao tratamento; somente dados "estritamente necessários" à finalidade devem ser tratados; e o controlador deve adotar "medidas para garantir a transparência do tratamento". Na prática, isso significa que a empresa deve ser capaz de demonstrar que a investigação tem um objetivo legítimo e específico, que o tratamento de dados é proporcional a esse objetivo, e que foram adotadas salvaguardas para proteger os direitos do titular.

A execução de contrato (artigo 7o, inciso V) pode servir como base legal quando o contrato de trabalho ou prestação de serviços contém cláusulas que autorizam o monitoramento e a investigação de condutas do empregado ou prestador. Essa base legal tem a vantagem de ser mais previsível e menos sujeita a contestação do que o legítimo interesse, desde que as cláusulas contratuais sejam claras, específicas e previamente comunicadas ao titular.

O exercício regular de direitos (artigo 7o, inciso VI) é particularmente relevante quando a investigação interna está diretamente vinculada a um processo judicial, administrativo ou arbitral — seja já instaurado, seja em preparação. Essa base legal permite o tratamento de dados necessários à produção de provas e à defesa dos interesses da empresa em um contexto litigioso.

O Legítimo Interesse na Prática: Como Documentar e Demonstrar

A utilização do legítimo interesse como base legal para investigações internas exige a elaboração de um Teste de Balanceamento (Legitimate Interest Assessment — LIA), que documenta a análise de proporcionalidade entre o interesse da empresa e os direitos do titular. Embora a LGPD não prescreva um formato específico para essa documentação, a Autoridade Nacional de Proteção de Dados (ANPD) tem sinalizado que espera que os controladores estejam preparados para demonstrar que realizaram essa análise.

O teste de balanceamento deve abordar quatro elementos: (1) a identificação do legítimo interesse — qual é o interesse concreto que justifica a investigação (ex.: apuração de fraude interna, prevenção de danos ao patrimônio da empresa, cumprimento de obrigações regulatórias); (2) a necessidade do tratamento — por que o tratamento dos dados pessoais específicos é necessário para atingir esse objetivo e se existem meios menos invasivos de alcançar o mesmo resultado; (3) o balanceamento com os direitos do titular — quais são os impactos do tratamento sobre os direitos e liberdades do titular e se esses impactos são proporcionais ao interesse perseguido; e (4) as salvaguardas adotadas — quais medidas foram implementadas para minimizar os impactos sobre o titular (anonimização, pseudonimização, restrição de acesso, limitação de prazo de retenção).

Na experiência da Bforense, a elaboração prévia do teste de balanceamento não é apenas uma exigência regulatória — é uma ferramenta estratégica. A documentação rigorosa do processo decisório demonstra boa-fé da organização, fortalece a admissibilidade das provas produzidas e cria uma defesa sólida contra eventuais reclamações do investigado perante a ANPD ou o Judiciário.

Monitoramento de E-mails e Comunicações Corporativas: Limites e Possibilidades

O monitoramento de e-mails e comunicações corporativas é frequentemente o centro das investigações internas — e também o ponto de maior tensão com a LGPD. A jurisprudência trabalhista brasileira tem evoluído para reconhecer que a empresa tem direito de monitorar comunicações realizadas em ferramentas corporativas (e-mail institucional, Slack, Teams), desde que o empregado tenha sido previamente informado dessa possibilidade.

O e-mail corporativo é considerado ferramenta de trabalho de propriedade da empresa, e seu monitoramento é amplamente aceito pela jurisprudência quando: o empregado foi informado, de preferência por escrito (no contrato de trabalho ou em política de segurança da informação), de que o e-mail corporativo pode ser monitorado; o monitoramento é realizado de forma não discriminatória (ou seja, aplica-se a todos os empregados em condições semelhantes, ou é direcionado a um empregado específico com base em indícios concretos de irregularidade); e o conteúdo acessado é limitado ao estritamente necessário para a investigação.

O e-mail pessoal utilizado em dispositivos corporativos apresenta um cenário mais delicado. A interceptação ou acesso a e-mails pessoais, mesmo quando realizados em computador da empresa, pode configurar violação de correspondência (artigo 5o, XII, da Constituição Federal) e violação da LGPD. A recomendação da Bforense é que políticas de segurança da informação proíbam expressamente o uso de dispositivos corporativos para comunicações pessoais — o que elimina a zona cinzenta e fortalece a posição da empresa caso comunicações pessoais sejam inadvertidamente capturadas durante uma investigação.

O WhatsApp e outros aplicativos de mensagens pessoais utilizados para comunicações de trabalho representam o desafio mais complexo. Embora o conteúdo das conversas seja protegido pela inviolabilidade das comunicações, metadados como horários de conexão, frequência de mensagens e destinatários podem ser relevantes para a investigação sem necessariamente violar a privacidade do conteúdo. A Bforense recomenda que, quando o acesso ao conteúdo de WhatsApp for necessário, ele seja obtido diretamente do titular (mediante solicitação formal) ou por determinação judicial — preservando tanto a legalidade da coleta quanto a admissibilidade da prova.

Dados Sensíveis em Investigações: A Camada Adicional de Proteção

A LGPD classifica como "dados pessoais sensíveis" aqueles que revelam origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou organização de caráter religioso, filosófico ou político, dados referentes à saúde ou à vida sexual, dados genéticos ou biométricos. O tratamento de dados sensíveis é submetido a regras mais restritivas (artigo 11 da LGPD) e exige atenção especial em investigações internas.

Em investigações de assédio, por exemplo, os relatos frequentemente contêm informações sobre a vida sexual ou orientação sexual do denunciante ou do investigado — dados sensíveis que devem ser tratados com proteção reforçada. Em investigações de discriminação, dados sobre origem racial ou étnica são inerentemente relevantes. Em apurações de conflito de interesse, a filiação política ou religiosa de um empregado pode ser pertinente.

A base legal mais segura para o tratamento de dados sensíveis em investigações internas é o exercício regular de direitos (artigo 11, II, "d"), quando a investigação está vinculada a um processo judicial, administrativo ou arbitral. Na ausência dessa vinculação processual, o consentimento do titular (artigo 11, I) é a base legal mais segura — embora sua obtenção possa comprometer o sigilo da investigação. A ANPD ainda não se pronunciou definitivamente sobre a aplicabilidade do legítimo interesse ao tratamento de dados sensíveis em contexto investigativo, o que cria uma zona de incerteza que deve ser navegada com cautela.

A Bforense recomenda que investigações que envolvam dados sensíveis sejam conduzidas com envolvimento direto do DPO (Encarregado de Proteção de Dados) da organização e, quando possível, com orientação jurídica específica sobre a base legal aplicável ao caso concreto.

Relatório de Impacto à Proteção de Dados (RIPD): Quando é Obrigatório

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) — equivalente brasileiro do Data Protection Impact Assessment (DPIA) europeu — é previsto nos artigos 5o, XVII, e 38 da LGPD como uma documentação que descreve os processos de tratamento de dados pessoais que podem gerar riscos às liberdades civis e aos direitos fundamentais, bem como as medidas, salvaguardas e mecanismos de mitigação de riscos.

A ANPD pode exigir a elaboração do RIPD pelo controlador a qualquer momento, e a sua ausência pode ser considerada um agravante em caso de sanção administrativa. No contexto de investigações internas, a elaboração do RIPD é recomendada quando: a investigação envolve monitoramento sistemático de comunicações; dados sensíveis são tratados; o volume de dados pessoais acessados é significativo; ou a investigação pode resultar em decisões que afetem substancialmente os direitos dos titulares (como demissão, transferência ou denúncia a autoridades).

Na prática, a Bforense recomenda que organizações que conduzem investigações internas com frequência elaborem um RIPD genérico para atividades investigativas, que pode ser complementado com informações específicas de cada caso concreto. Essa abordagem garante conformidade regulatória sem exigir a elaboração de um RIPD completo para cada investigação individual — o que seria impraticável e poderia atrasar a resposta a irregularidades urgentes.

Sanções da ANPD e Riscos Práticos para Investigações Mal Conduzidas

A ANPD está plenamente operacional e tem exercido seu poder sancionador de forma crescente. As sanções previstas na LGPD incluem: advertência com indicação de prazo para adoção de medidas corretivas; multa simples de até 2% do faturamento da pessoa jurídica no seu último exercício, excluídos os tributos, limitada a R$ 50 milhões por infração; multa diária; publicização da infração; bloqueio dos dados pessoais referentes à infração; eliminação dos dados pessoais referentes à infração; e suspensão ou proibição do exercício de atividades de tratamento.

Para investigações internas, os riscos mais concretos de uma condução em desconformidade com a LGPD incluem: a anulação das provas obtidas em violação à lei, com potencial reversão de sanções disciplinares aplicadas ao investigado; reclamações do investigado perante a ANPD, que podem resultar em procedimento administrativo contra a empresa; ações judiciais de indenização por danos morais movidas pelo investigado, que podem resultar em condenações significativas; e dano reputacional decorrente da publicização de sanções pela ANPD.

Um risco particularmente insidioso é a reversão da demissão por justa causa em casos trabalhistas. Se a prova que fundamentou a justa causa foi obtida em desconformidade com a LGPD, o empregado pode obter na Justiça do Trabalho a anulação da demissão, com condenação da empresa ao pagamento de todas as verbas rescisórias, além de indenização por danos morais. Ou seja, a empresa não apenas perde a investigação — perde também o litígio trabalhista e ainda fica exposta a uma sanção da ANPD.

Anonimização e Pseudonimização: Ferramentas de Proteção na Investigação

A LGPD incentiva a utilização de técnicas de anonimização e pseudonimização como mecanismos de proteção dos titulares de dados. No contexto de investigações internas, essas técnicas podem ser empregadas para reduzir o impacto sobre os direitos dos titulares sem comprometer a eficácia da apuração.

A anonimização — processo pelo qual um dado perde a possibilidade de associação, direta ou indireta, a um indivíduo — retira o dado do escopo de aplicação da LGPD. Dados anonimizados não são considerados dados pessoais e, portanto, não estão sujeitos às restrições da lei. Contudo, a anonimização efetiva é tecnicamente complexa e, em muitos contextos investigativos, contraproducente — se o objetivo é identificar um fraudador, anonimizar os dados torna a investigação inútil.

A pseudonimização é mais útil no contexto investigativo. Trata-se do processamento de dados pessoais de forma que eles não possam mais ser atribuídos a um titular específico sem o uso de informações adicionais, mantidas separadamente. Na prática, isso significa substituir identificadores diretos (nomes, CPFs) por códigos, armazenando a tabela de correspondência em local separado e com acesso restrito. A pseudonimização reduz o risco de exposição indevida durante a investigação sem eliminar a possibilidade de reidentificação quando necessário.

A Bforense recomenda a adoção de pseudonimização em relatórios intermediários de investigação e na comunicação de achados preliminares, reidentificando os envolvidos apenas no relatório final ou quando a identificação é necessária para a adoção de medidas concretas. Essa abordagem limita a exposição de dados pessoais ao mínimo necessário e demonstra a aplicação do princípio da minimização previsto na LGPD.

Roteiro Prático: Como Conduzir Investigações em Conformidade com a LGPD

Com base na experiência acumulada pela Bforense em centenas de investigações corporativas, apresentamos um roteiro prático para organizações que precisam conduzir apurações internas em conformidade com a LGPD.

Antes da investigação: verificar se a empresa possui uma Política de Investigações Internas que contemple os aspectos de proteção de dados; confirmar que contratos de trabalho e políticas de segurança da informação contêm cláusulas sobre monitoramento e investigação; designar um responsável pela supervisão de proteção de dados na investigação (idealmente o DPO ou um profissional com essa função); e elaborar ou atualizar o teste de balanceamento (LIA) para a base legal de legítimo interesse.

Durante a investigação: documentar cada ação de tratamento de dados realizada, incluindo justificativa, base legal e responsável; limitar o acesso aos dados investigativos ao menor número de pessoas possível (need-to-know basis); utilizar pseudonimização em documentos intermediários; preservar a cadeia de custódia das evidências digitais coletadas; e aplicar o princípio da minimização — coletar apenas os dados estritamente necessários para a finalidade investigativa, evitando a "pesca" indiscriminada de informações.

Após a investigação: elaborar o relatório final com classificação adequada de confidencialidade; definir prazo de retenção dos dados coletados durante a investigação e assegurar sua eliminação ao término desse prazo; se medidas disciplinares forem adotadas, documentar a conexão entre os achados investigativos e a decisão tomada; e realizar uma revisão pós-investigação para identificar lições aprendidas e aprimorar processos futuros.

Conclusão: LGPD Como Aliada, Não Como Obstáculo

A LGPD não veio para impedir investigações internas — veio para discipliná-las. Organizações que compreendem os limites e as possibilidades da lei não apenas conduzem investigações mais eficazes, como produzem provas mais robustas, protegem-se contra alegações de abuso e demonstram maturidade institucional perante reguladores, investidores e o mercado.

O maior risco para uma empresa que enfrenta uma suspeita de irregularidade interna não é a LGPD — é a inação. Deixar de investigar por receio da lei é tão prejudicial quanto investigar sem observar seus limites. A solução está no meio-termo: investigar com rigor, mas com método; buscar a verdade, mas respeitando direitos; e produzir provas, mas preservando sua admissibilidade.

A Bforense está posicionada como uma das agências de inteligência privada com maior expertise na intersecção entre investigação corporativa e proteção de dados no Brasil. Nossa equipe inclui profissionais com formação em direito digital e proteção de dados que participam ativamente de cada investigação, garantindo que cada ação esteja fundamentada em base legal adequada e documentada para resistir ao escrutínio regulatório e judicial.

Se sua organização precisa conduzir uma investigação interna e tem dúvidas sobre como fazê-lo em conformidade com a LGPD, entre em contato com a Bforense para uma orientação inicial confidencial. A proteção dos dados e a proteção da empresa não são objetivos contraditórios — com a abordagem certa, são complementares.