O RGPD e a denúncia de infrações: por que não devemos confiar no consentimento

As pessoas que reportam algo por meio de um sistema de denúncia de infrações podem incluir dados pessoais na sua mensagem. As organizações que pretendem implementar um sistema de denúncia de infrações para os seus colaboradores, fornecedores ou outras partes interessadas devem considerar os aspetos de privacidade envolvidos. Como combinar de forma pragmática a denúncia de infrações e o RGPD?

O artigo 6.º do Regulamento (UE) 2016/679 (Regulamento Geral sobre a Proteção de Dados ou RGPD) obriga a uma «licitude do tratamento». O consentimento parece ser uma boa alternativa. Mas não é. Não para a denúncia de infrações.

Porque não?

O consentimento deve ser «uma manifestação de vontade livre», mas existe uma relação de dependência entre o empregador e o colaborador. Se o empregador pede consentimento, a maioria dos colaboradores irá simplesmente aceder ao pedido. No seu Parecer 2/2017 (WP 249), o Grupo de trabalho do Artigo 29.º para a Proteção de Dados considera que: «Exceto em situações excecionais, o empregador tem de invocar outro fundamento jurídico que não o consentimento».

De um ponto de vista mais prático, o consentimento é um fundamento instável, uma vez que pode ser revogado a qualquer momento. Se se encontrar a conduzir uma investigação crítica e um colaborador decidir repentinamente revogar o seu consentimento, como procede?

Colocando de parte os aspetos legais e práticos, imaginemos um colaborador que foi vítima de assédio sexual. O seu sistema de denúncia de infrações inclui uma caixa de consentimento que deve ser assinalada antes que alguém possa deixar uma mensagem. O seu colaborador conseguiu finalmente reunir a coragem necessária para fazer uma denúncia anónima e a primeira questão é: «autoriza o tratamento dos seus dados pessoais?» É muito provável que isto demova os denunciantes, que podem inclusivamente decidir tornar o facto público. Não é do seu interesse perder casos importantes!

Por isso, prescinda do consentimento. De que forma pode então cumprir os requisitos do RGPD?

Fundamente o tratamento com o seu interesse legítimo na deteção de má conduta, que não pode ser detetada numa fase inicial de nenhuma outra forma. Em última análise, lembre-se: a proteção de dados e o direito à privacidade são muito importantes, mas o objetivo final é implementar um mecanismo de denúncia de infrações eficaz. As pessoas devem sentir-se livres para falar para que a sua organização possa realmente detetar e lidar com casos graves de má conduta.

Fale com os nossos especialistas

Quer saber mais, debater ideias ou partilhar opiniões?

Contacte-nos

Share this page