Deliberação 765/2009 – Princípios Aplicáveis aos Tratamentos de Dados Pessoais com a finalidade de Comunicação Interna de Actos de Gestão Financeira Irregular (Linhas de Ética)

Ago 23, 2021 | Decisões CNPD

Consulte aqui o documento original

O elevado número de notificações de tratamentos de dados pessoais com a finalidade de gestão das comunicações internas de práticas irregulares(linhas de ética) e a celeridade requerida na sua apreciação justificam a decisão da CNPD de adoptar esta Deliberação de carácter geral para aplicação a este tipo de tratamentos.

A presente Deliberação tem em vista estabelecer os princípios fixados pela CNPD na apreciação das notificações de tratamentos com aquela finalidade que lhe sejam submetidos. Nas Autorizações a conceder será feita remissão directa para os fundamentos jurídicos aqui enunciados. Pretende-se, igualmente, com esta

Deliberação:
– Disponibilizar aos responsáveis dos tratamentos os princípios de protecção de dados aplicáveis nestas situações e estabelecer as regras orientadoras para o correcto cumprimento da Lei de Protecção de Dados;
– Dar a conhecer aos titulares desses dados os direitos que lhes assistem e os limites estabelecidos para estes tratamentos de dados.

Assim, tendo em conta:
– O artigo 35.º da Constituição da República Portuguesa;
– A Convenção 108 do Conselho da Europa, de 28 de Janeiro de 1981;
– A Directiva 95/46/CE do Parlamento Europeu e do Conselho, de 24 de Outubro;
– A Lei n.º 67/98, de 26 de Outubro, que aprovou a Lei de Protecção de Dados Pessoais (Lei 67/98);
– A Lei n.º 59/2007, de 4 de Setembro, que aprovou a vigésima alteração ao Código Penal;
– A Lei n.º 48/2007, de 29 de Agosto, que aprovou a décima quinta alteração ao Código de Processo Penal; – O artigo 245.º-A do Código dos Valores Mobiliários republicado pelo DecretoLei n.º 357-A/2007, de 31 de Outubro e alterado pelo Decreto-Lei n.º 211- A/2008, de 3 de Novembro, pela Lei n.º 28/2009, de 19 de Junho e pelo Decreto-Lei n.º 185/2009, de 12 de Agosto;
– O artigo 4.º da Lei n.º 19/2008, de 21 de Abril;
– A Recomendação 2005/162/CE da Comissão Europeia, de 15 de Fevereiro, relativa ao papel dos administradores não executivos;
– O Parecer n.º 1/2006, de 1 de Fevereiro, do Grupo de Comissários Europeus de Protecção de Dados (Grupo do Artigo 29º)[1]Disponível (09.09.2009) em
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp117_pt.pdf
; O Código do Governo das Sociedades da CMVM, de Setembro de 2007[2] Disponível (09.09.2009) em
http://www.cmvm.pt/NR/exeres/9405C5ED-7D91-4B3A-B97E-47A04EF72B43,frameless.htm
.

A Comissão Nacional de Protecção de Dados delibera estabelecer os princípios e condições gerais aplicáveis aos tratamentos de dados pessoais com a finalidade de Comunicação Interna de Actos de Gestão Financeira Irregular (Linhas de Ética).

Enquadramento

Em consequência dos Casos Enron (Dezembro de 2001), WorldCom (Julho de 2002) e Tyco (2002), os Estados Unidos da América aprovaram, em 2002, o Sarbanes-Oxley Act, que obriga as sociedades cotadas na bolsa a promover um sistema de denúncia de casos ou situações de corrupção ou de má administração interna, designado por whistleblowing[3]Em termos simples, podemos definir o whistleblowing como um sistema que se traduz na criação nas empresas de condições para denúncia de comportamentos fraudulentos ou irregulares capazes de … Continue reading , como forma de promover a responsabilidade e transparência nas empresas e de contribuir para a segurança financeira nos mercados financeiros internacionais.

A Comissão Europeia, culminando acções de outros órgãos comunitários, aprovou, em 15 de Fevereiro de 2005, a Recomendação 2005/162/CE da Comissão Europeia, na qual convida os Estados-membros a incentivar as sociedades cotadas (definidas como sociedades cujos valores mobiliários são admitidos à negociação num mercado regulamentado pela Comunidade) a divulgar e a cumprir “códigos de ética”. Nos termos da citada Recomendação, os conselhos de administração ou de supervisão das sociedades deverão criar comités de auditoria aos quais cumpre, entre outras funções, a de controlar o procedimento através do qual a sociedade cumpre as disposições em vigor no que diz respeito à possibilidade de os empregados notificarem irregularidades financeiras.

O grupo de trabalho instituído pelo artigo 29.º da Directiva 95/46/CE pronunciou-se sobre a questão, limitado, embora, à abordagem formal da aplicação das regras em matéria de protecção de dados da UE aos sistemas internos de denúncia de
infracções no domínio da contabilidade, dos controlos contabilísticos internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro – cfr. Parecer 1/2006, de 1 de Fevereiro de 2006.

O objectivo do aludido parecer foi o de tomar uma posição conjunta das autoridades de protecção de dados ao nível europeu em resposta aos sistemas de denúncia anónima de casos ou situações de corrupção ou de má administração interna em empresas cotadas em bolsa imposto pela Sarbanes-Oxley Act americana, surgida em 2002 na sequência do caso Enron, como forma de promover a responsabilidade e transparência nas empresas e de contribuir para a segurança financeira nos mercados financeiros internacionais.

Nas conclusões do seu parecer, o Grupo do artigo 29º, reconhecendo que os sistemas de denúncia podem contribuir para implementar os princípios de (bom) governo das sociedades e para detectar irregularidades com impacto na sua situação financeira, insistiu na necessidade de se fazer uma rigorosa aplicação dos princípios de protecção de dados neste âmbito, em particular no que respeita aos direitos da pessoa denunciada à informação, ao acesso, à rectificação e à eliminação dos dados, bem como do direito de oposição.

Repudia-se o anonimato a favor de um regime de confidencialidade como forma de salvaguardar os riscos de denúncia caluniosa e de discriminação.

Reconhece-se a possibilidade de restrição desses direitos quando os interesses perseguidos pelo sistema, a protecção dos direitos das restantes pessoas envolvidas, em particular do denunciante, e as finalidades da investigação o exijam. Como no próprio texto do parecer se refere, neste não foram abordadas questões como a compatibilização do sistema de denúncias com os sistemas penal e/ou laboral, porquanto específicas da jurisdição de cada Estado-membro, além de claramente desenquadradas do âmbito do mandato conferido ao grupo de trabalho.

Em Portugal, a Comissão do Mercado dos Valores Mobiliários (CMVM), fazendo eco da referida Recomendação 2005/162/CE da Comissão Europeia, emitiu, em Setembro de 2007, o Código do Governo das Sociedades, onde figuram, no ponto II.1.6, regras sobre a adopção de uma política de comunicação de irregularidades indicando, designadamente, os meios através dos quais as práticas irregulares podem ser comunicadas internamente, as pessoas com legitimidade para receber tais comunicações e qual o tratamento (incluindo confidencialidade) dado a tais comunicações. Recomenda ainda a CMVM que as linhas gerais da política de whistleblowing sejam divulgadas no relatório anual de governo da sociedade, tal como decorria já da anterior Recomendação 10-A da CMVM.

O Código dos Valores Mobiliários, na última alteração introduzida pelo Decreto-Lei n.º 185/2009, de 12 de Agosto, vem estabelecer novos elementos relativos à adopção, à implementação e à publicitação do código de governo das sociedades, reflectindo as orientações do anteprojecto elaborado pela CMVM[4]Disponível (09.09.2009) em
http://www.cmvm.pt/NR/rdonlyres/9405C5ED-7D91-4B3A-B97E47A04EF72B43/8427/TRANSPOSICAOPARCIALDIRECTIVA.pdf
.

O regime de denúncia obrigatória, no ordenamento jurídico-penal português, encontra previsão no artigo 242.º[5]A redacção dada pelo Código de Processo Penal (sublinhado nosso): do Código de Processo Penal, na redacção dada pela Lei n.º 48/2007, de 29 de Agosto. Ali se faz depender, para efeito de integração do elemento subjectivo em contexto de obrigação de denúncia, da qualidade de funcionário.

O conceito de funcionário, para a lei penal, abrange uma amplitude de realidades, que extravasam o conceito de trabalhador em funções públicas, no sentido estrito.

O artigo 386.º[6]A redacção dada pelo Código Penal do Código Penal, na redacção dada pela Lei n.º 59/2007, de 4 de Setembro, descreve este conceito de funcionário.

A Lei n.º 19/2008, de 21 de Abril, no contexto da introdução de medidas de combate à corrupção, introduz garantias dos denunciantes que sejam trabalhadores da Administração Pública e de empresas do sector empresarial do Estado e que denunciem o cometimento de infracções de que tiverem conhecimento no exercício das suas funções ou por causa delas[7]Cfr. artigo 4.º da Lei n.º 19/2008, de 21 de Abril , estabelecendo uma presunção legal favorável ao trabalhador denunciante, bem como os direitos à não identificação (salvo para os investigadores) e à transferência a pedido do mesmo.

As empresas vêm adoptando procedimentos que pretendem estimular as comunicações internas de práticas irregulares, de forma a prevenir ou reprimir irregularidades alegadamente ocorridas no seu seio, evitando o agravamento dos danos que, pela continuidade, essas irregularidades poderiam causar.

Começa a tornar-se corrente a existência de códigos de ética nas empresas de maior dimensão, os quais vêm consagrar o sistema de whistleblowing com o objectivo de evitar actuações fraudulentas.

Impõe-se que a CNPD aprecie se o tratamento está em conformidade com os princípios de protecção de dados, designadamente quanto à qualidade dos dados e quanto ao âmbito e admissibilidade do tratamento.

Controlo prévio

Os tratamentos de dados com a finalidade de gerir as comunicações internas de práticas irregulares de âmbito financeiro (Linhas de Ética), incidem sobre dados que, não estando classificados como dados sensíveis previstos no artigo 7.º da Lei 67/98, são dados especialmente protegidos (cfr. n.º 2 do artigo 8.º da Lei 67/98) e, por isso, legalmente sujeitos a uma protecção especial que impõe a existência de controlo prévio da CNPD, nos termos do disposto na alínea a) do artigo 28.º da Lei 67/98.

Consequentemente, tais tratamentos não poderão iniciar-se antes da obtenção da respectiva Autorização da CNPD, a emitir nos termos e condições fixadas após notificação do tratamento a esta Comissão.

Princípios de Protecção de Dados

Quanto à qualidade dos dados, estes devem ser adequados, pertinentes e não excessivos relativamente à finalidade da recolha. Quanto à admissibilidade do tratamento, este deve ser efectuado de forma lícita e com respeito pelos princípios da boa fé e da transparência.

Já a adequação, pertinência, bem como a necessidade e não excessividade dos dados são aferidas pela avaliação das categorias de dados recolhidos em função da finalidade do tratamento.

Em especial, o princípio da proporcionalidade:

Quanto ao princípio da proporcionalidade, ponderando os interesses em causa, do responsável e dos titulares, a CNPD terá de verificar se o tratamento de dados notificado se revela como o meio adequado para o fim visado, salvaguardando, por um lado, o direito à protecção dos dados pessoais e outros direitos fundamentais dos titulares e, por outro, o interesse do responsável, o qual se consubstancia também num direito que não pode ser comprimido para além do necessário, devendo ser atingido um justo equilíbrio que não afecte o conteúdo essencial dos direitos em presença.

Esta ponderação exige, em primeiro lugar, colocar em presença o direito à dignidade, à privacidade e à protecção dos dados pessoais de todas as pessoas, enquanto direito fundamental inscrito expressamente no catálogo dos direitos, liberdades e garantias individuais, com o interesse privado do responsável pelo tratamento, admitindo-se que, reflexamente, exista um interesse público de promover a responsabilidade e transparência nas empresas e de contribuir para a segurança financeira nos mercados internacionais.

Em relação ao âmbito e à admissibilidade importa que a CNPD verifique se, face à finalidade, resultam comprovadas, por um lado, as condições de legitimidade da recolha e tratamento dos dados e, por outro, a salvaguarda da garantia de respeito por direitos fundamentais dos titulares dos dados, bem como das pessoas visadas com as denúncias.

O juízo de proporcionalidade assume um papel primordial na aferição das condições de legalidade do tratamento de dados pessoais

Fundamento de legitimidade

O tratamento pode ser autorizado pela CNPD quando, fundadamente, se mostre necessário à execução de finalidades legítimas do responsável, desde que não prevaleçam os direitos, liberdades e garantias do titular dos dados – n.º 2 do artigo 8.º da Lei 67/98.

O tratamento das denúncias preenche este pressuposto legal, havendo, contudo, de se observar “as normas de protecção de dados e de segurança da informação”, previstas no artigo 15.º da Lei 67/98, dada a natureza da informação em causa –suspeita de actividades ilícitas.

Responsável pelo Tratamento

Nos termos do disposto na alínea d) do artigo 3.º da Lei 67/98, o responsável pelo tratamento é “a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais”.

As obrigações decorrentes da Lei de Protecção de Dados, desde logo a de notificação prevista no artigo 27.º, para obtenção da autorização prévia, serão de quem, na acepção da citada alínea c) do artigo 3.º, assumir aquela qualidade, individualmente ou em co-responsabilidade. A entidade responsável deve ser individualmente indicada, só se admitindo a co-responsabilidade entre instituições em casos de absoluta impossibilidade de determinar individualmente a responsabilidade pelo tratamento.

O responsável será a sociedade que adopte procedimentos internos e assegure meios que permitam a denúncia e a ulterior investigação de comportamentos contrários à lei ou às políticas da sociedade ou grupo de sociedades e decida, a final, sobre o destino a dar à denúncia apresentada.

Ao responsável pelo tratamento cumpre estabelecer as regras adoptadas para implementar a comunicação e o tratamento das denúncias, com indicação das pessoas ou órgãos que no seio da sociedade ou do grupo de sociedades estejam especialmente encarregadas da recolha e do tratamento das denúncias, as quais deverão ser em número limitado, com formação técnica adequada e adstritas ao dever de confidencialidade assumido contratualmente.

Estas entidades deverão pautar a sua actuação por princípios de independência e imparcialidade e pelo respeito pelos princípios vigentes no direito interno, em particular no Código do Trabalho e no Código do Processo Penal.

Nâo obstante eventuais regimes de subcontratação, o responsável pelo tratamento está adstrito à verificação do cumprimento das medidas de segurança, sobre quem impende a obrigação legal e a salvaguarda das medidas adequadas.

Subcontratantes

Se houver recurso a prestação de serviços para recolher ou tratar os dados, as pessoas especialmente encarregadas dessa missão no seio do organismo prestador de serviços só acedem aos dados dentro dos limites das suas competências.

O prestador de serviços assume, por via contratual[8]Nos termos da obrigação de redução a instrumento contratual prevista no artigo 14.º da Lei 67/98, de 26 de Outubro. , a responsabilidade de não utilizar os dados para outros fins, assegurar a sua confidencialidade, respeitar o prazo de conservação e proceder à destruição ou à restituição de todos os suportes manuais ou informáticos dos dados pessoais no termo da sua prestação.

Não obstante as obrigações contratuais descritas, sempre haverá a realçar a obrigação de resultado que impende sobre o responsável pelo tratamento sobre a salvaguarda da qualidade e da segurança dos dados.

Finalidade do tratamento

A finalidade é um elemento determinante para aferição da admissibilidade e condicionantes dos tratamentos de dados pessoais.

Como dispõe a alínea b) do artigo 5.º da Lei 67/98, os dados pessoais objecto de tratamento devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essa finalidade.

A finalidade do tratamento de dados objecto da presente Deliberação é a gestão das comunicações internas de práticas irregulares.

Assim, só podem ser objecto de tratamento os procedimentos de controle interno de denúncia de infracções destinados a prevenir e/ou a reprimir irregularidades no seio das sociedades, nos domínios da contabilidade, dos controlos contabilísticos internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro, de forma a acautelar a verificação de danos mais gravosos para a actividade das empresas, de promover a responsabilização e transparência destas e de contribuir para a segurança financeira nos mercados financeiros internacionais.

Categorias de dados

Dados pessoais são, de acordo com a alínea a) do artigo 3.º da Lei 67/98, “qualquer informação, de qualquer natureza e independentemente do respectivo suporte, incluindo som e imagem, relativa a uma pessoa singular identificada ou identificável («titular dos dados»); é considerada identificável a pessoa que possa ser identificada directa ou indirectamente, designadamente por referência a um número de identificação ou a um ou mais elementos específicos da sua identidade física, fisiológica, psíquica, económica, social ou cultural”.

Os dados pessoais objecto de tratamento devem ser adequados, pertinentes e não excessivos relativamente à finalidade, bem como exactos e actuais – alíneas c) e d) do n.º 1 do artigo 5.º da Lei 67/98. O princípio da proibição do excesso exige que o tratamento dos dados pessoais advenha da ponderação da indispensabilidade concreta do tratamento desses dados para o alcance da finalidade concreta do tratamento.

Considerando a finalidade do tratamento em apreço, mostram-se necessárias para o tratamento as seguintes categorias de dados:
 Identidade e categoria profissional do denunciante;
 Identidade e categoria profissional do denunciado;
 Identidade e funções das pessoas que intervêm na recolha e no tratamento;
 Os factos denunciados passíveis de integrarem actividades consideradas suspeitas, no âmbito das actividades de contabilidade, de controlos contabilísticos internos, de auditoria, de luta contra a corrupção e do crime bancário e financeiro;
 Os elementos de facto recolhidos no âmbito da averiguação;
 Destino da denúncia.

A denúncia só será considerada se se apoiar em factos e respeitar aos domínios relativos à finalidade determinante.

Repudia-se o anonimato a favor de um regime de confidencialidade como forma de salvaguardar os riscos de denúncia caluniosa e de discriminação.

Direitos do denunciado

a) Direito de informação

À pessoa identificada pela denúncia é assegurado o direito de informação sobre a entidade responsável, os factos denunciados e a finalidade do tratamento – n.º 3 do artigo 10.º da Lei 67/98.

A prestação de informação por parte do responsável do tratamento ao titular dos dados é um direito essencial no regime de protecção de dados, com consagração constitucional e é corolário dos princípios da boa fé, da lealdade e da transparência.

b) Direito de acesso e rectificação

O direito de acesso aos seus dados pessoais por parte do titular, bem como o direito de os rectificar são igualmente direitos fundamentais (n.º 1 do artigo 35.º da CRP), essenciais para a verificação dos princípios da adequação, pertinência, exactidão e actualização dos dados pessoais (alíneas c) e d) do artigo 5.º da Lei 67/98).

Assim, o responsável pelo tratamento garantirá ao titular o direito de aceder aos dados que lhe respeitam e o direito de requerer a sua rectificação ou supressão se forem
inexactos, incompletos ou equívocos – artigo 11.º da Lei 67/98.

No caso de tratamento de dados com a finalidade de apurar da veracidade de suspeitas de prática de infracções criminais, o direito de acesso é exercido através da
CNPD – n.º 2 do artigo 11.º da Lei 67/98.

O denunciado não pode, todavia, obter informação do responsável sobre a identidade do denunciante.

Relacionado com a tutela jurídica do denunciado, sempre cumprirá, todavia, não escamotear os direitos gerais que lhe assistem, nomeadamente, a defesa do seu bom nome e privacidade e, em particular, o direito de apresentar queixa por crime de denúncia caluniosa, nos termos previstos e punidos no artigo 365.º[9]A redacção que ali se dá (sublinhado nosso): do Código Penal Português, mitigando o regime da tutela da confidencialidade com o estabelecimento de limites de utilização.

Direitos do denunciante

Os utilizadores do dispositivo serão informados sobre a identidade da entidade responsável, finalidade prosseguida, domínios abrangidos pela denúncia, carácter facultativo do dispositivo, inexistência de consequência pela não utilização do dispositivo, destinatários da denúncia, eventual transferência de dados para Estado exterior à UE e sobre a existência de um direito de acesso e de rectificação por parte das pessoas identificadas no quadro do dispositivo.

Serão ainda advertidos de que a utilização abusiva e de má-fé do dispositivo pode expor o seu autor a sanções disciplinares e a procedimento judicial.

Com estes limites, ao denunciante serão dadas garantias de confidencialidade no tratamento dos dados que lhe respeitem.

Transferência de dados para fora da UE

As comunicações de dados para fora da União Europeia devem respeitar as disposições sobre transferências internacionais de dados.

A adequação do nível de protecção de dados conferido a um Estado que não pertença à União Europeia é avaliada em função de todas as circunstâncias que rodeiam a transferência, nomeadamente, a natureza dos dados, a finalidade e duração dos tratamentos, os países de origem e de destino envolvidos, as regras de direito gerais e sectoriais em vigor no Estado destinatário e as medidas de segurança respeitadas nesse Estado – nº 2 do artigo 19.º da Lei 67/98.

Prazo de conservação dos dados

Nos termos do disposto na alínea e) do n.º 1 do artigo 5.º da Lei 67/98, os dados pessoais “apenas podem ser conservados durante o período necessário para prossecução das finalidades da recolha ou do tratamento posterior”.

Neste sentido, e atenta a finalidade, a CNPD considera que:  Os dados pessoais objecto de denúncia serão de imediato destruídos caso se revelem inexactos ou inúteis;
 Quando não haja lugar a procedimento disciplinar ou judicial, os dados que tenham sido objecto de comprovação serão destruídos decorrido o prazo de 6 meses a contar do encerramento das averiguações;
 Em caso de procedimento disciplinar ou judicial os dados serão conservados até ao termo desse procedimento. Neste caso, serão conservados no quadro de um sistema de informação de acesso restrito e por prazo que não exceda o procedimento judicial.

Medidas de segurança

As medidas de segurança devem aplicar-se tanto aos dados contidos em ficheiros automatizados, como aos dados manuais. Além disso, chama-se a atenção para os procedimentos concretos quanto às formas de recolha, processamento e circulação da informação.

O sistema informatizado deve estar estruturado de modo a permitir o acesso ao tratamento de dados mediante identificação e palavra passe individual, renovável periodicamente, ou por outro meio de autenticação. Esse acesso é registado e a sua regularidade controlada. Devem, pois, ser adoptadas medidas de segurança que impeçam o acesso à informação a pessoas não autorizadas.

Ainda no âmbito das condições de segurança, deve ser garantido um acesso restrito, sob o ponto de vista físico e lógico, aos servidores do sistema.

De igual modo, devem ser feitas cópias de segurança (backup) da informação, as quais deverão ser mantidas em local apenas acessível ao administrador de sistema.

No que diz respeito aos dados contidos em suporte de papel, devem ser adoptadas medidas organizacionais, que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos. O responsável pelo tratamento tomará as precauções necessárias para preservar a segurança dos dados, quer na ocasião da recolha, quer na da sua comunicação ou conservação.

Independentemente das medidas de segurança adoptadas pelo responsável pelo tratamento, é a este que cabe assegurar o resultado da efectiva segurança da informação.

Limites específicos

A possibilidade de alargamento do sistema de denúncias (whistleblowing) a políticas internas da empresa (ou de outras entidades públicas ou privadas), que não apenas às áreas identificadas na presente Deliberação, porque passível de alargar substancialmente a gama de dados, podendo tornar-se altamente intrusivo da vida privada é, pelas razões invocadas, não admissível.

Assim, salientam-se os seguintes limites:

a) Âmbito objectivo

Pela gravidade que pode representar para os titulares dos dados e para os princípios da boa-fé, lealdade e confiança por que se devem pautar as relações no local de trabalho, julga-se ser de restringir o sistema de denúncia aos domínios da contabilidade, dos controlos contabilísticos internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro[10]À semelhança do entendimento acolhido no Parecer 1/2006 do Grupo de Trabalho do artigo 29.º, nas Orientações Gerais de 10.11.2005 e na Deliberação de 8.12.2005, decisões da CNIL (francesa) e … Continue reading .

b) Âmbito subjectivo

Apenas as pessoas que pratiquem actos de gestão relacionados com os domínios da contabilidade, dos controlos contabilísticos internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro poderão ser alvo de denúncia.

Tendo em conta a finalidade do tratamento – comunicação de irregularidades que afectem seriamente a credibilidade e a saúde financeira da instituição, decorrentes de actos de gestão – este mecanismo não deverá servir de suporte a um regime de denúncia geral, sobretudo ao nível da base piramidal da estrutura organizativa, uma vez que a generalidade dos trabalhadores não têm interferência directa ou indirecta na decisão gestionária.

Trata-se, assim, de mecanismo que apoia a avaliação de risco da sociedade, mas, sobretudo, ao nível dos actos de gestão e numa análise top-down, sendo, inversamente, o exercido do direito de denúncia efectuado via bottom-up.

c) Âmbito procedimental

Considera-se ser ainda de restringir a utilização do sistema em análise à qualidade de mecanismo complementar da actividade regular da sociedade, limitando a sua utilização a casos onde não seja objectivamente justificável o uso dos demais mecanismos de comunicação interna ou decorrentes da ordem jurídica nacional, revestindo a natureza de dispositivo subsidiário, nos termos e com as limitações descritas.

A correlação necessária que se impõe fazer neste domínio recai sobre o juízo de adequação e pertinência dos dados recolhidos e tratados face à finalidade determinante na recolha – gestão das comunicações internas de práticas irregulares, destinadas a prevenir e/ou a reprimir irregularidades no seio das sociedades, nos domínios da contabilidade, dos controlos contabilísticos internos, da auditoria, da luta contra a corrupção e do crime bancário e financeiro, de forma a acautelar a verificação de danos mais gravosos para a actividade das empresas, de promover a responsabilização e transparência destas e de contribuir para a segurança financeira nos mercados financeiros internacionais – permitindo aferir da proporcionalidade da solução preconizada.

d) Autonomia da vontade

Questão controversa e com especiais repercussões ao nível da eticidade de dispositivo prende-se com o carácter impositivo ou facultativo da denúncia.

Da aplicação do regime penal e processual penal subsidiariamente a outros ramos do Direito, que contemplam um estatuto similar ao do arguido em processo penal[11]Tal acontece, por exemplo, ao nível do direito contra-ordenacional e do direito disciplinar no âmbito das relações de trabalho. , quer por suspeita de prática de infracção, crime ou irregularidades graves cuja interferência com a esfera social justificam a intervenção do braço sancionatório do Direito, justificam a defesa de uma linha de orientação que pugne por um regime de voluntariedade da denúncia, limitado apenas com a aplicação do regime penal geral, verificando-se obrigatoriedade de denúncia nos casos em que a lei penal e processual penal o determine.

e) Entidade responsável pela apreciação das denúncias

Fazendo apelo à mesma linha argumentativa que se defendeu a propósito da qualidade dos denunciados, nomeadamente a adequação do tratamento face à finalidade acolhida por esta CNPD, afigura-se não ser consequente o estabelecimento de uma linha de denúncia interna, cuja gestão e apreciação compete aos eventuais denunciados.

Assim, na linha do previsto no Código do Governo das Sociedades da CMVM, a gestão e a apreciação preliminar das denúncias apresentadas deve ser adstrita a entidades de auditoria, independentes, às quais cumpre, entre outras funções, controlar o procedimento através do qual a sociedade cumpre as disposições em vigor no que diz respeito à possibilidade de os empregados notificarem irregularidades. Cumpre, neste particular, efectuar uma distinção de regimes:

 

a) Ou esta entidade se encontra prevista na estrutura societária, sem prejuízo do exercício das funções descritas com independência e com salvaguarda da confidencialidade, não se verificando recurso à figura da subcontratação, aplicando-se-lhe o regime do responsável pelo tratamento[12]Vide pp. 10 e 11 da presente Deliberação ;
b) Ou se verifica o recurso a entidade externa à estrutura societária, caso em que se aplica o regime de subcontratação já descrito na presente Deliberação, nos termos e para os efeitos descritos no artigo 14.º da Lei 67/98[13] Cfr. O regime de subcontratação melhor descrito na pp. 12 da presente Deliberação. .

 

Lisboa, 21 de Setembro de 2009

Ana Roque, Luís Barroso, Helena Delgado António, Carlos Campos Lobo, Vasco Almeida, Luís Paiva de Andrade.

Luís Lingnau da Silveira (Presidente)

References

References
1Disponível (09.09.2009) em
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2006/wp117_pt.pdf
2 Disponível (09.09.2009) em
http://www.cmvm.pt/NR/exeres/9405C5ED-7D91-4B3A-B97E-47A04EF72B43,frameless.htm
3Em termos simples, podemos definir o whistleblowing como um sistema que se traduz na criação nas empresas de condições para denúncia de comportamentos fraudulentos ou irregulares capazes de afectar seriamente a sua actividade.
4Disponível (09.09.2009) em
http://www.cmvm.pt/NR/rdonlyres/9405C5ED-7D91-4B3A-B97E47A04EF72B43/8427/TRANSPOSICAOPARCIALDIRECTIVA.pdf
5A redacção dada pelo Código de Processo Penal (sublinhado nosso):
6A redacção dada pelo Código Penal
7Cfr. artigo 4.º da Lei n.º 19/2008, de 21 de Abril
8Nos termos da obrigação de redução a instrumento contratual prevista no artigo 14.º da Lei 67/98, de 26 de Outubro.
9A redacção que ali se dá (sublinhado nosso):
10À semelhança do entendimento acolhido no Parecer 1/2006 do Grupo de Trabalho do artigo 29.º, nas Orientações Gerais de 10.11.2005 e na Deliberação de 8.12.2005, decisões da CNIL (francesa) e na Deliberação de 26.03.2008 da DataInspektionen (sueca), autoridades congéneres de protecção de dados.
11Tal acontece, por exemplo, ao nível do direito contra-ordenacional e do direito disciplinar no âmbito das relações de trabalho.
12Vide pp. 10 e 11 da presente Deliberação
13 Cfr. O regime de subcontratação melhor descrito na pp. 12 da presente Deliberação.