As novas regras relativas à proteção de pessoas que denunciam infrações através de canais de denúncia, aplicáveis a partir de junho de 2022, deverão ser encaradas como uma oportunidade para as organizações transformarem as suas convencionais Linhas de Ética num Whistleblowing 2.0, através de uma aliança entre a tecnologia e o cumprimento da lei, de forma a garantir a proteção de todos os envolvidos, isto é, dos denunciantes, denunciados e responsáveis pelo tratamento das denúncias.

Os objetivos propostos deste novo regime jurídico são claros: assegurar a confidencialidade, integridade e transparência das organizações e um processo equitativo e justo.

Contudo, para a prossecução destes objetivos, já não basta às empresas a definição de linhas de ética baseadas em processos manuais, dependentes exclusivamente da decisão e ação humana. As organizações devem ponderar pela digitalização de processos, com recursos a tecnologias ágeis, capazes de responder e gerir de forma automatizada (e eficiente), os canais de denúncia, para garantir o cumprimento das obrigações previstas na Lei.

Para este efeito, é essencial que as tecnologias envolvidas tenham em consideração o seguinte:

1. Serem desenhadas de forma a assegurar que a identidade do denunciante (através da confidencialidade ou anonimato) não é divulgada para além do responsável autorizado para o tratamento de denúncias, em linha com os princípios da minimização e need-to-know, salvo consentimento do denunciante ou obrigação legal aplicável, em observância do disposto no Regulamento Geral sobre a Proteção de Dados (RGPD).
2. Garantir que a gestão, investigação e apreciação de uma denúncia caberá a uma equipa especializada, imparcial e independente, de forma a evitar o desencorajamento dos denunciantes na comunicação de eventos suspeitos por receio de retaliação (ato absolutamente proibido e censurável nos termos da Lei).
3. Estarem revestidas de medidas técnicas e organizativas capazes de assegurar um nível de segurança adequado ao risco do tratamento de informações decorrentes das denúncias, atentas as características destes canais e a natureza dos dados envolvidos.
4. Serem estruturadas de forma a impedir o acesso à informação por pessoas não autorizadas.
5. Implementarem técnicas de pseudonimização ou encriptação, bem como garantirem acessos restritos, sob o ponto de vista lógico e físico (sempre que aplicável), aos responsáveis pela gestão das denúncias.
6. Garantirem uma separação de tarefas, desde logo pela definição de uma primeira fase preliminar de apreciação, seguida de uma fase de instrução e investigação que levará a uma decisão final com eventuais recomendações a serem adotadas (dependendo da situação em concreto), nomeadamente, através da segregação de funções, controlo de acessos dos envolvidos, bem como a possibilidade de auditoria através dos registos dos logs gerados, por forma a apresentar um seguimento seguro das denúncias, a fim de garantir a exaustividade, integridade e conservação destas.

No âmbito da Lei n.º 93/2021, de 20 de dezembro, é assim essencial que as organizações avaliem os recursos existentes e as suas competências, desenhem e implementem modelos de governance robustos, com a definição clara das políticas e procedimentos a adotar. Deverão, ainda, providenciar formação especializada sobre esta matéria, garantindo a transparência e informação aos potenciais denunciantes (e denunciados), para garantia e defesa da confidencialidade dos dados pessoais dos envolvidos.