Dados pessoais disponíveis publicamente e background check

Para analisar as principais discussões relacionadas ao uso de dados pessoais disponíveis publicamente em procedimentos de background check para fins de anticorrupção à luz da Lei Geral de Proteção de Dados (Lei nº 13.709/2018 ou LGPD), é importante compreender, em primeiro lugar, a própria finalidade de tal procedimento no contexto de operações societárias [1], bem como principais fontes e mecanismos utilizados para acessar os dados.

Além disso, a Lei Anticorrupção também prevê a responsabilidade sucessória nas hipóteses de operações societárias, de modo que uma pessoa jurídica que adquire outra pessoa jurídica que tenha praticado atos lesivos pode vir a ser responsabilizada pelo pagamento de eventual multa e/ou reparação dos danos ainda que não esteja diretamente envolvida nos atos praticados, bastando a comprovação do benefício, mesmo que não exclusivo, da pessoa jurídica adquirente.

Nesse sentido, a realização de procedimentos de background check tornou-se extremamente relevante no contexto das operações societárias. Isso porque, por meio desse procedimento, é realizada a checagem das informações relacionadas a pessoas jurídicas — e, eventualmente, a pessoas físicas envolvidas, como administradores —, incluindo importantes questões sobre reputação, histórico de processos judiciais e administrativos, bem como sanções administrativas e internacionais.

Assim, o Decreto nº 11.129/2022, que regulamenta a Lei Anticorrupção, discorre sobre os parâmetros de avaliação dos programas de integridade e inclui a necessidade de "verificação, durante os processos de fusões, aquisições e reestruturações societárias, do cometimento de irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas" (artigo 57, XIV).

Em linhas gerais, o objetivo principal da referida verificação é justamente realizar uma análise do risco relacionado à pessoa jurídica envolvida na operação societária, podendo levar inclusive à aplicação de medidas mitigadoras de risco à operação ou, no limite, à desistência da operação.

Do ponto de vista de anticorrupção, as fontes mais utilizadas em procedimentos de background check usualmente englobam a consulta a base de dados do Poder Judiciário, especialmente de tribunais, para checagem de processos envolvendo temas de corrupção, improbidade administrativa, entre outros.

Realiza-se, também, a checagem de certidões e listas administrativas de sanções, que podem englobar, por exemplo, o Cadastro Nacional de Empresas Punidas (CNEP), o Cadastro Nacional de Empresas Inidôneas e Suspensas (Ceis), o Cadastro Nacional de Condenações Cíveis por Ato de Improbidade Administrativa (CNIA), bem como a certidão negativa emitida pelo Ministério Público Federal (MPF), entre outras fontes.

Além disso, usualmente são realizadas consultas de informações públicas disponíveis em websites buscadores, por meio do uso de palavras-chave. Por fim, podem ser utilizadas ainda ferramentas privadas que coletam e analisam dados pessoais disponíveis publicamente.

Diante disso, e considerando que, para a realização de procedimentos de background check utilizam-se majoritariamente dados pessoais disponíveis publicamente, é fundamental analisar as disposições específicas da LGPD a esse respeito, incluindo as bases legais aplicáveis, os princípios e direitos do titular, de modo que eventual mitigação de riscos em relação às sanções previstas na Lei Anticorrupção não implique na inobservância da LGPD e, consequentemente, na aplicação das sanções administrativas nela previstas.

Como as fontes mais comuns de consulta de informações no background check envolvem bases de dados públicas, nota-se que tal procedimento envolve majoritariamente o tratamento de dados pessoais de acesso público, que são uma espécie de dados pessoais disponíveis publicamente. O dado pessoal de acesso público é aquele divulgado publicamente por terceiros e com livre acesso pelo público em geral, isto é, publicidade e acessibilidade amplas [3].

Inclui-se, na definição de dados pessoais de acesso público, dados pessoais cuja divulgação é obrigatória por lei, como o fato de alguém ser sócio de uma empresa; dados geridos pela administração pública, como a distribuição de ações judiciais, os protestos, os registros de nascimento e a inscrição em cadastro de contribuintes; dados pessoais constantes em bancos de dados públicos, como da Receita Federal, de cartórios públicos, diários oficiais, diários de justiça, sites públicos da internet, bem como as listas administrativas de sanções mencionadas acima; e dados disponibilizados pelo Poder Judiciário em processos judiciais; entre tantos outros.

Para utilizar tais informações, é fundamental que os agentes, além de fundamentar o tratamento em uma base legal, observem os critérios específicos delineados no parágrafo 3º do artigo 7º da LGPD, quais sejam a finalidade, a boa-fé e o interesse público que justificaram sua disponibilização.

A aplicação do princípio da boa-fé, previsto no artigo 6º, caput, da LGPD implica, em suma, na observância obrigatória das legítimas expectativas do titular dos dados, isto é, remete à ideia de fidelidade no cumprimento da expectativa alheia, honestidade, lealdade e confiança.

Já o princípio da finalidade, previsto no artigo 6º, I, da LGPD, exige que qualquer tratamento de dados pessoais seja realizado para propósitos legítimos, específicos, explícitos e informados ao titular, sem a possibilidade de tratamento posterior de forma incompatível com essas finalidades. Deve-se respeitar, assim, a correlação entre o tratamento dos dados pessoais e a finalidade informada ao titular no momento da coleta, que inclusive justificou a sua disponibilização pública. Esse critério permite valorar a razoabilidade da utilização de determinados dados pessoais para uma finalidade específica, fora da qual haveria real abusividade.

O último requisito é a observância do interesse público que justificou a publicização do dado pessoal. A compreensão do interesse público assenta-se na proteção dos direitos fundamentais, que transcendem os interesses particulares dos próprios titulares, tornando possível, inclusive, a definição de uma premissa importante: dados pessoais indispensáveis ao atendimento da transparência pública são passíveis de publicização, afastando-se do conhecimento público os demais.

Dessa forma, considerando o contexto de realização de procedimentos de background check no âmbito de operações societárias, bem como as disposições específicas da LGPD sobre o tema, é possível concluir pela licitude do tratamento de dados pessoais disponíveis publicamente para fins de verificação do cometimento de eventuais irregularidades ou ilícitos ou da existência de vulnerabilidades nas pessoas jurídicas envolvidas em tais operações, conforme exigido pelo artigo 42, XIV, da Lei Anticorrupção.

No entanto, tal licitude está necessariamente condicionada à observância da finalidade, da boa-fé e do interesse público que justificaram a disponibilização do dado pessoal de acesso público num primeiro momento, além das demais disposições da LGPD, em especial as bases legais, os princípios e os direitos do titular dos dados.

Somado a isso, destaca-se que, além das bases de dados de acesso público, também são utilizadas informações disponibilizadas pelo próprio titular em perfis públicos de redes sociais e por meio de comentários em websites. São os chamados dados pessoais tornados manifestamente públicos pelo titular, isto é, informações pessoais divulgadas intencionalmente pelo próprio titular de forma manifestamente pública e que representam outra espécie de dados pessoais disponíveis publicamente [4].

O artigo 7º, parágrafo 4º, da LGPD, trata especificamente sobre o tratamento dessa categoria de dados e determina que, além da dispensa da exigência do consentimento enquanto base legal, o seu tratamento deve ser realizado de forma a resguardar os direitos dos titulares e os princípios da LGPD.

Considerando os princípios listados no artigo 6º da LGPD, o agente que utilizar tais informações deverá necessariamente observar a finalidade e a boa-fé que justificaram a disponibilização dos dados pelo titular; não utilizá-los para fins discriminatórios, ilícitos, abusivos ou inadequados; garantir que os dados utilizados são relevantes, atualizados, estritamente necessários, proporcionais e não excessivos em relação a checagem de anticorrupção; e fornecer informações claras e completas sobre o tratamento aos titulares, o que pode ser feito por meio de uma política de privacidade.

Nesse sentido, a depender do contexto de disponibilização desses dados pessoais, da finalidade específica do tratamento e da observância dos demais critérios apresentados acima, é possível concluir pela possibilidade do tratamento de dados pessoais tornados públicos pelos titulares para realização de procedimentos de background check no âmbito de operações societárias.

Ainda em relação ao tratamento de ambas as categorias acima indicadas, há que se destacar o disposto no artigo 7º, parágrafo 7º, da LGPD, que permite o uso posterior dessas informações para novas finalidades, desde que sejam observados os propósitos legítimos e específicos do novo tratamento, bem como sejam preservados os direitos dos titulares, os fundamentos e os princípios da LGPD.

À luz dos princípios e fundamentos da LGPD, entende-se que tais propósitos secundários devem observar o contexto da disponibilização dos dados e suas expectativas sobre tal uso por terceiros, de forma que as intenções da disponibilização mostrem-se compatíveis com o tratamento posterior a ser realizado [5].

Assim, é possível analisar a viabilidade e legalidade da utilização de algumas fontes bastante úteis para background check, mas menos tradicionais. Isso porque é cada vez mais comum a consulta a publicações em perfis públicos de redes sociais e comentários em fóruns públicos, blogs e websites que indiquem aspectos da vida do investigado.

Em princípio, não há uma proibição de conduzir a checagem de perfis de indivíduos em redes sociais. Entretanto, por se tratar de dados tornados públicos pelo titular, alguns limites devem ser observados para que o tratamento esteja em conformidade com a LGPD, conforme mencionado acima.

Com relação à expectativa dos titulares sobre o uso dos seus dados para fins de background check anticorrupção, um fator que pode auxiliar nessa análise de compatibilidade é avaliar o objetivo principal da rede social utilizada.

Quando houver uma intenção ou foco explícitos para participação na rede, como o encontro de parceiros para relacionamentos amorosos ou a utilização para obter e compartilhar dicas de trânsito, será mais complexo demonstrar uma relação de compatibilidade com a finalidade de uso dos dados para background check para fins de anticorrupção.

Já uma plataforma de interação sem propósito específico e cujo perfil criado pelo titular seja público ou outra cuja finalidade seja justamente criar interações profissionais pode ter uma compatibilidade maior com a finalidade do uso de informações para checagens anticorrupção. No entanto, ainda assim, tudo dependerá do contexto.

Somado a isso, também não há, de forma geral, uma proibição para o uso de dados constantes em comentários em fóruns públicos, blogs e websites no background check. Entretanto, a mesma análise de contexto e finalidade já descrita acima deve ser aplicada aqui. Ou seja, deve ser analisado se há como compatibilizar o contexto em que o titular disponibilizou as informações, seja por meio do objetivo geral do fórum público/blog/website ou da natureza da rede social que contém tal fórum público, e em que contexto a discussão está inserida, para que seja possível analisar a legalidade do uso posterior de tais informações.

A última fonte a ser analisada é a utilização de ferramentas privadas para background check, que podem realizar a coleta e organização tanto de dados disponíveis publicamente como de informações que não sejam públicas num primeiro momento, mas que resultem de outras investigações, entrevistas com terceiros, ou dados coletados em fóruns privados.

Há diversas empresas que fornecem soluções para o background check de anticorrupção no mercado. Em princípio, a maioria delas utiliza bases de dados públicos para gerar os resultados e, portanto, não haveria proibição geral para essa prática. Entretanto, é relevante que se verifique se há uma garantia de que os dados utilizados foram coletados e tratados de acordo com a LGPD para a finalidade pretendida pelo agente.

Além disso, é necessário ter atenção com fornecedores que utilizam bases de dados não públicas, como dados utilizados em investigações anteriores sobre o mesmo indivíduo, dados coletados em entrevistas com terceiros ou diretamente com o titular em conversas privadas. Na maioria destes casos, o racional utilizado para a análise dos dados pessoais disponíveis publicamente não será aplicável.

Ressalta-se, por fim, que a relação entre o agente que contrata esse tipo de serviço e a fornecedora da solução também pode ser regulamentada por meio de um contrato que inclua tais obrigações e proteções com relação aos dados utilizados como base. Nesse caso, deve-se analisar se tais empresas prestam serviço na posição de controladoras ou operadoras dos dados pessoais, conforme conceitos previstos no artigo 5º, VI e VII, da LGPD, para alocação mais efetiva das responsabilidades no contrato a ser celebrado.