Tomadas de decisões são intimamente ligadas à rotina de quaisquer organizações. Pelo impacto na balança corporativa e consequências na dinâmica interna, a contratação de novos colaboradores ou a celebração de novas parcerias comerciais devem ser ações conscientes, realizadas após diferentes análises que sigam um planejamento específico.
Dada a importância deste processo, é imprescindível avaliar os riscos inerentes antes da definitiva tomada de decisão, num procedimento de muitas etapas denominado background check, ou “verificação de antecedentes” em tradução livre.
No atual cenário em que muitas das relações pessoais e de trabalho ocorrem de forma remota, o KYE (Know Your Employee, “conheça seu empregado”) e o KYP (Know Your Partner, “conheça seu parceiro comercial/fornecedor/prestador de serviços”) são fundamentais para garantir o bom andamento das atividades corporativas, já que a identificação e construção de perfis de acordo com a cultura empresarial contribuem para que a distância não seja um obstáculo para transpor.
Por conta desse desafio, o background check vem mitigar prejuízos financeiros e/ou reputacionais quando municia a empresa de conhecimento acerca das peças que compõem o seu tabuleiro corporativo. O objetivo é verificar o passado e a situação atual dos indivíduos ou entidades que serão parte em uma negociação ou contratação. Assim, é possível averiguar conflitos de interesse, idoneidade do que é declarado e envolvimento com fraudes e atos ilícitos — caso tal apuração seja relevante ao objeto social da empresa.
Nesse contexto, é indispensável que as empresas interessadas e/ou obrigadas por lei a implementarem metodologias de background check entendam o contexto legislativo que impacta a prática. De forma esparsa, a legislação brasileira aborda a questão do background check em diversos dispositivos legais, destacando-se a Lei nº 9.613/98, que dispõe sobre os crimes de “lavagem” ou ocultação de bens [1].
Mas por configurar um apoio importante na tomada de decisão de quaisquer contratações, o interesse em aderir a um programa de averiguação de antecedentes pode vir de corporações que almejam ser diligentes quanto aos seus novos parceiros de negócio. Contudo, as entidades que aderem ao background check precisam estar atentas com as regras de tratamento de dados envolvidas nessas verificações.
Ao analisar as informações de seus colaboradores, parceiros comerciais e prestadores de serviço, relacionados, principalmente (1) à veracidade dos dados fornecidos; (2) a eventuais pendências financeiras que possam vir a impactar a idoneidade da prestação de serviços em razão de cargo, função ou solvência; (3) ou ainda à antecedentes criminais, é necessário identificar, no caso concreto, se tal análise é adequada e relevante ao objeto do negócio e do serviço — a exemplo de transporte de valores.
Considerando que a corporação se valerá de dados que dizem respeito a uma pessoa natural identificada ou identificável tanto para checagem em si, quanto no resultado desta checagem, temos como ponto crucial a preocupação com os dados pessoais [2] obtidos e tratados.
Assim, embora em algumas situações o dever de realizar o background check possa ser decorrente da obrigação legal de combate à lavagem de dinheiro e financiamento de práticas ilícitas, subsiste em qualquer situação de tratamento dos dados pessoais de acordo com a LGPD, para evitar as sanções administrativas previstas nesta lei.
No que toca diretamente à LGPD, destacamos três questões relevantes que devem ser observadas no decorrer da instauração de um background check:
1. Bases legais: O tratamento de Dados Pessoais somente poderá ser realizado caso se enquadre em uma das justificativas previstas no artigo 7º da LGPD ou do artigo 11 da mesma lei, na hipótese de tratamento de dados pessoais sensíveis [3]. É necessário avaliar a finalidade pretendida com o tratamento em cada situação, para então identificar a base legal mais adequada.
Por exemplo, nos casos de empresas submetidas às normas que disciplinam o combate à lavagem de dinheiro e financiamento do terrorismo, seria possível justificar o tratamento por meio da base legal do “cumprimento de obrigação legal ou regulatória”, contida no artigo 7º, II da LGPD.
Já quando uma entidade não está submetida à referida obrigação legal, o tratamento pode ser justificado por meio da base legal do legítimo interesse, contida no artigo 7º, X da LGPD, observando-se com cautela as disposições do artigo 10 da mesma lei [4].
Importante destacar que a base legal de legítimo interesse não deve ser utilizada no caso de o background check envolver o tratamento de dados pessoais sensíveis. Isto porque, o artigo 11 da LGPD, que elenca as hipóteses autorizadoras para o tratamento de Dados Pessoais Sensíveis, não prevê o legítimo interesse como base legal.
Dada a minúcia com a qual tais cenários são identificados e validados perante a legislação, é essencial que a empresa dedique esforços internos e conte com o apoio de uma assessoria especializada para realizar o enquadramento e/ou validação da base legal mais adequada ao caso, considerando suas particularidades e o fluxo dos dados tratados.
2. Direitos dos titulares: Para evitar violações à LGPD e eventuais reclamações judiciais, além do background check, é recomendado disponibilizar um canal de atendimento às pessoas físicas submetidas à verificação de antecedentes, em atenção ao artigo 18 da LGPD [5].
Em referido canal, a pessoa física submetida ao background check poderia acionar os seus direitos, como ser informada e ter acesso aos dados pessoais sob tratamento e solicitar a atualização ou alteração dos seus dados pessoais desatualizados, incompletos ou incorretos.
3. Princípios: Na realização do background check é necessário observar os princípios trazidos pela LGPD, previsto no artigo 6º da referida lei.
De forma não exaustiva, destacamos o princípio da transparência, que imputa o dever de prestar informações claras, precisas e facilmente acessíveis sobre a realização do tratamento e os respectivos agentes de tratamento às pessoas físicas submetidas à verificação de antecedentes [6].
Outro princípio importante de ser observado é o da necessidade, que se refere à minimização e à proporcionalidade do tratamento de dados pessoais. Assim, havendo o background check, por exemplo, para fins de combate às práticas de lavagem de dinheiro e financiamento ao terrorismo, é necessário avaliar se não há o tratamento excessivo e/ou desnecessário de dados pessoais.
Por fim, destacamos ainda o princípio da não discriminação, para evitar a realização do tratamento de dados pessoais para fins discriminatórios, ilícitos ou abusivos.
Embora seja um princípio expresso na LGPD, a não discriminação pode ter implicância, inclusive, na esfera trabalhista, quando se trata de background check de colaboradores.
Para combater atos discriminatórios em processos seletivos, já foram proferidas decisões judiciais em que ficou caracterizado o dano moral e o dever de indenizar por solicitarem certidões de débitos por meio do background check, mesmo que não sejam informações decisórias no processo seletivo [7]. O entendimento é de que uma pessoa endividada é a que mais necessita de emprego, de modo que é injustificável e discriminatório excluí-la em decorrência de sua condição financeira.
Outro ponto de atenção diz respeito aos dados de antecedente criminal. Embora perante à LGPD os dados de antecedência criminal não sejam elencados como sensíveis pelo artigo 5º, II, do ponto de vista trabalhista há uma relevante proteção dessas informações. Há diversas decisões que caracterizam o dano moral e o dever de indenizar quando há a exigência de apresentação de antecedente criminal de candidatos/colaboradores cujas funções/cargos não envolvam o manuseio de informações confidenciais ou cargos de confiança [8].
Assim, de um lado, tem-se a LGPD impedindo o tratamento de dados para fins discriminatórios e, de outro lado, a jurisprudência trabalhista corroborando com esse entendimento para afastar práticas discriminatórias com o uso de antecedentes criminais.
De todo modo, e em harmonia com o já levantado neste texto, o Tribunal Superior do Trabalho (TST) já considerou legal a averiguação de antecedentes criminais a depender do tipo de função desempenhada. Como é caso de cuidadores de menores/idosos/deficientes, trabalhadores que manuseiam substâncias tóxicas, entorpecentes e armas e bancários e profissionais que atuam em bancos ou instituições financeiras [9].
Pelo exposto, verifica-se que no decorrer da implementação do background check, sobretudo em organizações submetidas às normas de prevenção e combate à lavagem de dinheiro [10] (como seguradoras, corretoras de seguros, administradoras de cartões de crédito, empresas de transporte e guarda de valores etc.), a gestão eficaz de dados pessoais é um fator essencial.
Considerando que para a realização do background check há a necessidade de se tratar grande quantidade de informações, uma das medidas para poderiam ser tomadas para minimizar riscos é a elaboração e implementação de uma política interna de verificação de antecedentes que leve em consideração, principalmente, os três pilares acima mencionados.
Ademais, para as empresas que já possuem política/procedimento de background check estruturado, se fez necessária a avaliação se tal procedimento observa os requisitos da LGPD e o posicionamento da jurisprudência para que, se necessário, haja a devida atualização da norma interna.
Contar com o apoio multidisciplinar de especialistas que entendem a organização, seus processos e legislações aplicáveis é fundamental. Além de conhecer seus colaboradores, parceiros e fornecedores, a organização precisa saber qual seu status do ponto de vista de proteção de dados pessoais, aplicando políticas e demais medidas organizacionais e técnicas que garantam maior segurança jurídica ao procedimento de background check.
[1] A Circular nº 3.978/2020 do Banco Central (Bacen) e a Resolução 36/2021 do Conselho de Controle de Atividades Financeiras (Coaf) também são importantes regulamentos que disciplinam sobre os procedimentos e os controles de background check que devem ser adotados pelas instituições submetidas ao Coaf e ao Bacen para a prevenção à lavagem de dinheiro e financiamento do terrorismo.
[2] Segundo o artigo 5º, I da LGPD, dado pessoal é toda informação relacionada a pessoa natural identificada ou identificável.
[3] Dados pessoais sensíveis, segundo a LGPD (artigo 5º, II), é o dado pessoal sobre origem racial ou étnica, convicção religiosa, opinião política, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, dado referente à saúde ou à vida sexual, dado genético ou biométrico, quando vinculado a uma pessoa natural
[4] Artigo 10. O legítimo interesse do controlador somente poderá fundamentar tratamento de dados pessoais para finalidades legítimas, consideradas a partir de situações concretas, que incluem, mas não se limitam a: I – apoio e promoção de atividades do controlador; e II – proteção, em relação ao titular, do exercício regular de seus direitos ou prestação de serviços que o beneficiem, respeitadas as legítimas expectativas dele e os direitos e liberdades fundamentais, nos termos desta Lei. § 1º. Quando o tratamento for baseado no legítimo interesse do controlador, somente os dados pessoais estritamente necessários para a finalidade pretendida poderão ser tratados. § 2º. O controlador deverá adotar medidas para garantir a transparência do tratamento de dados baseado em seu legítimo interesse. § 3º. A autoridade nacional poderá solicitar ao controlador relatório de impacto à proteção de dados pessoais, quando o tratamento tiver como fundamento seu interesse legítimo, observados os segredos comercial e industrial.
[5] O artigo 18 da LGPD dispõe que o titular dos dados pessoais tem direito a obter do controlador, em relação aos dados do titular por ele tratados, a qualquer momento e mediante requisição: I- confirmação da existência de tratamento; II – acesso aos dados; III – correção de dados incompletos, inexatos ou desatualizados; IV – anonimização, bloqueio ou eliminação de dados desnecessários, excessivos ou tratados em desconformidade com a Lei; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa e observados os segredos comercial e industrial, de acordo com a regulamentação do órgão controlador; V – portabilidade dos dados a outro fornecedor de serviço ou produto, mediante requisição expressa, de acordo com a regulamentação da autoridade nacional, observados os segredos comercial e industrial; VI – eliminação dos dados pessoais tratados com o consentimento; VII – informação das entidades públicas e privadas com as quais o controlador realizou uso compartilhado de dados; VIII – informação sobre a possibilidade de não fornecer consentimento e sobre as consequências da negativa; IX – revogação do consentimento.
[6] O que poderia ser feito, por exemplo, por meio da implementação de políticas de privacidade.
[7] Processo: 0041200-97.2009.5.04.0401 – RO. Juiz convocado Marcelo Gonçalves De Oliveira, órgão julgador: 7ª Turma, origem: 1ª Vara do Trabalho de Caxias do Sul
[8] TST – RR 130374-25.2015.5.13.0024, – 7ª Turma, publicado em: 5/4/2019, data de Julgamento: 3/4/2019, relator: Luiz Philippe Vieira de Mello Filho; RR – 9890900-82.2004.5.09.0014, relator ministro: João Batista Brito Pereira, 5ª Turma, DEJT: 8/10/2010; TST – RR: 352000520135130009, relator: Hugo Carlos Scheuermann, data de julgamento: 22/10/2014, 1ª Turma, data de publicação: DEJT 31/10/2014
[9] TST – RR 243000-58.2013.5.13.002. Relator: Kátia Magalhães Arruda. Data do julgamento: 25/10/2017, 6ª Turma.
[10] As pessoas físicas e jurídicas submetidas às normas de prevenção e combate à lavagem de dinheiro e sujeitas à controle pelos órgãos fiscalizados encontram-se elencadas na Lei 9.613/98, em seu artigo 9º.
Por Antonio Oliveira e Dayane Souza Vantini, sócia e advogada do Peck Advogados, respectivamente. Postado originalmente no ConJur.