As novas regras relativas à proteção de pessoas que denunciam infrações através de canais de denúncia, aplicáveis a partir de junho de 2022, deverão ser encaradas como uma oportunidade para as organizações transformarem as suas convencionais Linhas de Ética num Whistleblowing 2.0, através de uma aliança entre a tecnologia e o cumprimento da lei, de forma a garantir a proteção de todos os envolvidos, isto é, dos denunciantes, denunciados e responsáveis pelo tratamento das denúncias.
Os objetivos propostos deste novo regime jurídico são claros: assegurar a confidencialidade, integridade e transparência das organizações e um processo equitativo e justo.
Contudo, para a prossecução destes objetivos, já não basta às empresas a definição de linhas de ética baseadas em processos manuais, dependentes exclusivamente da decisão e ação humana. As organizações devem ponderar pela digitalização de processos, com recursos a tecnologias ágeis, capazes de responder e gerir de forma automatizada (e eficiente), os canais de denúncia, para garantir o cumprimento das obrigações previstas na Lei.
Para este efeito, é essencial que as tecnologias envolvidas tenham em consideração o seguinte:
- Serem desenhadas de forma a assegurar que a identidade do denunciante (através da confidencialidade ou anonimato) não é divulgada para além do responsável autorizado para o tratamento de denúncias, em linha com os princípios da minimização e need-to-know, salvo consentimento do denunciante ou obrigação legal aplicável, em observância do disposto no Regulamento Geral sobre a Proteção de Dados (RGPD).
- Garantir que a gestão, investigação e apreciação de uma denúncia caberá a uma equipa especializada, imparcial e independente, de forma a evitar o desencorajamento dos denunciantes na comunicação de eventos suspeitos por receio de retaliação (ato absolutamente proibido e censurável nos termos da Lei).
- Estarem revestidas de medidas técnicas e organizativas capazes de assegurar um nível de segurança adequado ao risco do tratamento de informações decorrentes das denúncias, atentas as características destes canais e a natureza dos dados envolvidos.
- Serem estruturadas de forma a impedir o acesso à informação por pessoas não autorizadas.
- Implementarem técnicas de pseudonimização ou encriptação, bem como garantirem acessos restritos, sob o ponto de vista lógico e físico (sempre que aplicável), aos responsáveis pela gestão das denúncias.
- Garantirem uma separação de tarefas, desde logo pela definição de uma primeira fase preliminar de apreciação, seguida de uma fase de instrução e investigação que levará a uma decisão final com eventuais recomendações a serem adotadas (dependendo da situação em concreto), nomeadamente, através da segregação de funções, controlo de acessos dos envolvidos, bem como a possibilidade de auditoria através dos registos dos logs gerados, por forma a apresentar um seguimento seguro das denúncias, a fim de garantir a exaustividade, integridade e conservação destas.
No âmbito da Lei n.º 93/2021, de 20 de dezembro, é assim essencial que as organizações avaliem os recursos existentes e as suas competências, desenhem e implementem modelos de governance robustos, com a definição clara das políticas e procedimentos a adotar. Deverão, ainda, providenciar formação especializada sobre esta matéria, garantindo a transparência e informação aos potenciais denunciantes (e denunciados), para garantia e defesa da confidencialidade dos dados pessoais dos envolvidos.