Empresa pode espionar funcionários? LGPD impõe limites

Empresa pode espionar funcionários? LGPD impõe limites
Investigações internas exigem equilíbrio entre apuração de fraudes e respeito à proteção de dados dos funcionários/Freepik
Publicado em 13/02/2026 às 3:00

Da redação de LexLegal

Empresas que investigam fraudes internas, desvios de conduta ou irregularidades financeiras enfrentam um dilema crescente: até onde podem ir sem violar a Lei Geral de Proteção de Dados? O avanço das políticas de compliance ampliou o uso de auditorias, monitoramento de e-mails corporativos e análise de dados de funcionários. Ao mesmo tempo, a LGPD impôs limites claros ao tratamento de informações pessoais, inclusive dentro do ambiente de trabalho.

Leia também: Anvisa amplia uso da cannabis medicinal e muda marco regulatório no Brasil

A Lei nº 13.709/2018, conhecida como LGPD, estabelece que qualquer tratamento de dados pessoais deve ter base legal específica, finalidade legítima e observância dos princípios da necessidade e da proporcionalidade. Em investigações internas, o conflito surge quando a empresa precisa acessar comunicações, históricos de acesso a sistemas ou registros digitais para apurar suspeitas de fraude.

Do ponto de vista jurídico, o primeiro ponto é entender que dados de empregados também são dados pessoais protegidos. Nome, e-mail, número de IP, registros de login, mensagens trocadas em plataformas corporativas e até metadados podem ser considerados informações pessoais. O fato de o ambiente ser corporativo não elimina a incidência da lei.

“A base legal que melhor justifica o acesso a e-mails, logs e comunicações é a execução do contrato de trabalho”, afirma Daniella Caverni, sócia das áreas de Compliance e Contratos do EFCAN Advogados.

Ela ressalta, no entanto, que essa justificativa tem limites. “Quando o acesso extrapola a execução do contrato e passa a envolver apuração de fraudes, corrupção ou assédio, a base legal pode se deslocar para o legítimo interesse ou para o exercício regular de direitos”, diz.

A LGPD prevê dez bases legais para o tratamento de dados. No contexto de investigações internas, as mais utilizadas são o cumprimento de obrigação legal ou regulatória, o exercício regular de direitos em processo judicial ou administrativo e o legítimo interesse do controlador. A escolha da base legal precisa estar documentada e justificada.

O legítimo interesse, frequentemente invocado em auditorias e apurações internas, exige cautela. A empresa deve demonstrar que o tratamento é necessário para atingir finalidade legítima e que não há violação desproporcional aos direitos do titular dos dados. A investigação não pode se transformar em monitoramento indiscriminado.

“O legítimo interesse não é uma carta branca para que as empresas tratem dados pessoais sem respeitar os princípios e os direitos dos titulares”, destaca Natália Coelho, advogada no Mattos Engelberg Echenique Advogados e especializada em compliance e proteção de dados.

Segundo ela, o acesso precisa ter justificativa concreta. “É necessário que haja uma finalidade clara, indícios que justifiquem o acesso e a demonstração de que a medida é a menos invasiva possível”, diz.

A proporcionalidade é elemento central. Se a suspeita envolve um departamento específico, o acesso a dados deve se restringir ao escopo necessário para esclarecer os fatos. A coleta ampla e irrestrita de comunicações pode ser considerada excessiva e, portanto, ilegal.

Outro ponto relevante é a transparência. A LGPD determina que o titular dos dados seja informado sobre as hipóteses de tratamento. Isso significa que políticas internas, contratos de trabalho e códigos de conduta devem prever expressamente a possibilidade de monitoramento e auditoria, inclusive de e-mails corporativos e sistemas internos.

Privacidade limitada

O Supremo Tribunal Federal e o Superior Tribunal de Justiça já reconheceram que o e-mail corporativo pertence à empresa, o que permite certo grau de fiscalização. Contudo, essa permissão não é ilimitada. O acesso deve respeitar finalidade específica e não pode atingir comunicações de natureza estritamente pessoal quando houver expectativa legítima de privacidade.

Outras notícias: Nos EUA, julgamento de Meta e Google põe em xeque o modelo de negócio das redes sociais

Em auditorias internas, outro desafio é o compartilhamento de dados com escritórios de advocacia, empresas de investigação forense ou consultorias externas. A LGPD exige que haja contrato formal definindo responsabilidades entre controlador e operador, com cláusulas de confidencialidade e segurança da informação.

A transferência internacional de dados também pode ocorrer, sobretudo em empresas multinacionais. Nesses casos, a legislação impõe requisitos adicionais, como a verificação de que o país de destino possui nível adequado de proteção ou a adoção de cláusulas contratuais específicas.

Há ainda o risco de responsabilização administrativa perante a Autoridade Nacional de Proteção de Dados. A ANPD pode aplicar advertências e multas que chegam a 2% do faturamento da empresa, limitadas a R$ 50 milhões por infração. Em investigações conduzidas de forma desproporcional, o questionamento pode surgir a partir de denúncia do próprio empregado.

Monitoramento e prova

No campo trabalhista, a violação de dados pode gerar indenização por dano moral. Tribunais têm analisado casos em que o monitoramento foi considerado abusivo ou invasivo. A linha divisória costuma ser a existência de política interna clara e a limitação do acesso ao necessário para apuração dos fatos.

A interação entre LGPD e compliance exige governança estruturada. Empresas precisam registrar as operações de tratamento em relatórios de impacto à proteção de dados, especialmente quando há risco elevado aos direitos dos titulares. O Relatório de Impacto à Proteção de Dados Pessoais é instrumento relevante em investigações sensíveis.

Outro aspecto é a preservação de provas digitais. Em apurações de fraude, é comum a necessidade de coletar logs de acesso, backups e registros de sistemas. Essa coleta deve respeitar critérios técnicos e legais para garantir cadeia de custódia e validade probatória. A obtenção ilícita de prova pode comprometer eventual ação judicial futura.

O uso de ferramentas tecnológicas de monitoramento contínuo também levanta questionamentos. Softwares capazes de rastrear produtividade, tempo de conexão e padrões de comportamento devem ser utilizados com cautela. A coleta automatizada de grandes volumes de dados aumenta o risco de tratamento excessivo.

No âmbito penal, investigações internas podem anteceder comunicação às autoridades. Caso haja indícios de crime, como corrupção ou fraude contábil, a empresa pode compartilhar informações com o Ministério Público ou a polícia. Ainda assim, o compartilhamento deve observar finalidade e adequação.

A cultura de compliance, incentivada por legislações como a Lei Anticorrupção, reforçou a necessidade de apurações internas eficazes. Porém, a LGPD introduziu camada adicional de responsabilidade. A empresa que ignora a proteção de dados pode enfrentar sanções administrativas e danos reputacionais.

A compatibilização entre investigação e privacidade exige planejamento prévio. Treinamentos internos, revisão de políticas e envolvimento do encarregado de dados são medidas essenciais. O Data Protection Officer deve participar do desenho da investigação para avaliar riscos e propor salvaguardas.

A jurisprudência ainda está em formação. Decisões judiciais tendem a analisar caso a caso, considerando gravidade da suspeita, extensão do monitoramento e existência de aviso prévio aos empregados. A ausência de critérios claros pode aumentar a insegurança jurídica.

Veja também: Bets movimentam R$ 37 bilhões no 1º ano sob regulação no Brasil

O debate sobre proteção de dados em investigações internas reflete transformação mais ampla no ambiente corporativo. Empresas são pressionadas a agir rapidamente diante de indícios de irregularidade, mas precisam respeitar limites legais. O equilíbrio entre eficiência investigativa e garantia de direitos fundamentais será determinante para a consolidação de práticas de compliance compatíveis com a LGPD.

SÃO PAULO WEATHER