A crescente maturidade dos programas de compliance no Brasil trouxe a due diligence de terceiros como um dos pilares essenciais para mitigação de riscos, especialmente em temas como corrupção, fraude e integridade reputacional. Paralelamente, a entrada em vigor da Lei Geral de Proteção de Dados (LGPD) estabeleceu novos parâmetros para o tratamento de dados pessoais, impondo limites e responsabilidades às organizações. Nesse contexto, surge uma tensão relevante: como conduzir investigações robustas sobre terceiros sem violar direitos de privacidade e princípios da proteção de dados?
Aqui, vamos buscar analisar os pontos de convergência e também os de conflito entre a LGPD e as práticas de due diligence, explorando caminhos para harmonizar esses dois universos.
A finalidade da LGPD e da due diligence: pontos de encontro
A LGPD tem como objetivo central proteger os direitos fundamentais de liberdade e privacidade, estabelecendo princípios como finalidade, adequação, necessidade, transparência e segurança no tratamento de dados pessoais. Já a due diligence de terceiros, busca identificar riscos legais, reputacionais e operacionais antes de estabelecer ou manter relações comerciais.
Apesar de aparentarem interesses distintos, há convergência importante entre ambos os instrumentos. A própria LGPD reconhece bases legais que legitimam o tratamento de dados para fins de prevenção à fraude e segurança, bem como para o exercício regular de direitos e o legítimo interesse do controlador.
Nesse sentido, a due diligence pode ser enquadrada como uma atividade legítima, desde que observados os limites legais. A análise prévia de parceiros comerciais contribui para evitar ilícitos, proteger stakeholders e preservar a integridade das organizações — objetivos que, indiretamente, também fortalecem o ambiente de confiança buscado pela LGPD.
Além disso, ambas compartilham a lógica de governança e accountability. Um programa de compliance bem estruturado exige rastreabilidade, controles internos e documentação — elementos igualmente valorizados pela LGPD na demonstração de conformidade.
Onde surgem os conflitos: limites à coleta e uso de dados
Os principais pontos de tensão entre LGPD e due diligence residem na extensão da coleta de dados e na forma como essas informações são tratadas.
A prática tradicional de due diligence frequentemente envolve:
- Coleta ampla de informações pessoais (inclusive de sócios, administradores e beneficiários finais);
- Pesquisa em bases públicas e privadas;
- Monitoramento contínuo de terceiros;
- Uso de dados reputacionais, incluindo notícias negativas e processos judiciais.
Sob a ótica da LGPD, essas práticas precisam ser cuidadosamente reavaliadas.
O princípio da necessidade (minimização de dados) impõe que apenas dados estritamente necessários sejam coletados. Isso entra em conflito com abordagens mais abrangentes de due diligence, que muitas vezes operam sob a lógica de “quanto mais informação, melhor”.
Outro ponto sensível é a base legal. Nem sempre é claro qual fundamento jurídico sustenta o tratamento de dados em due diligence. O uso do legítimo interesse, por exemplo, exige uma avaliação de balanceamento entre os interesses da empresa e os direitos do titular — o que nem sempre é formalizado na prática.
A transparência também representa um desafio. Informar o titular de que seus dados estão sendo analisados em uma due diligence pode comprometer a eficácia da investigação, especialmente em casos sensíveis. Por outro lado, a ausência de transparência pode ser vista como violação da LGPD.
Adicionalmente, o tratamento de dados sensíveis (como informações sobre processos criminais ou filiações) demanda ainda mais cautela, podendo exigir bases legais específicas ou justificativas robustas.
Antagonismos práticos: investigação versus privacidade
Na prática, o conflito se intensifica quando a due diligence exige profundidade investigativa. Por exemplo, a análise de integridade de um potencial parceiro pode demandar levantamento de histórico judicial, vínculos políticos, sanções administrativas e até mesmo exposição na mídia. Essas informações, embora relevantes para avaliação de risco, podem tocar diretamente na esfera privada do indivíduo.
Outro ponto crítico é o monitoramento contínuo de terceiros. Enquanto o compliance demanda vigilância constante para identificar mudanças de risco, a LGPD impõe limites temporais e exige justificativa contínua para o tratamento de dados.
Há também o risco de excesso de retenção: dados coletados durante a due diligence podem ser armazenados por períodos indefinidos, contrariando o princípio da limitação de armazenamento.
Por fim, o compartilhamento de dados com terceiros — como os que são feitos por consultorias especializadas ou plataformas de background check — levanta preocupações sobre segurança, transferência internacional de dados e responsabilidade solidária.
Onde se complementam: oportunidades de integração
Apesar dos conflitos, a LGPD pode atuar como um elemento de fortalecimento das práticas de due diligence. A exigência de governança em dados incentiva maior organização, padronização e documentação dos processos de investigação. Isso contribui para due diligences mais estruturadas e defensáveis.
A avaliação de base legal e o registro das operações de tratamento aumentam a segurança jurídica das análises realizadas. Além disso, a implementação de medidas de segurança da informação reduz riscos de vazamento e uso indevido de dados — algo crítico em investigações sensíveis.
Outro ponto positivo é o estímulo à proporcionalidade. A LGPD obriga as empresas a refletirem sobre o real valor de cada dado coletado, evitando excessos e tornando o processo mais eficiente.
Propostas para harmonização: um caminho possível
Para que LGPD e due diligence coexistam de forma equilibrada, é necessário evoluir práticas e adotar abordagens mais sofisticadas. Algumas diretrizes são fundamentais:
- Definição clara de base legal: Empresas devem formalizar a base legal utilizada para due diligence, sendo o legítimo interesse frequentemente o mais adequado. Isso deve vir acompanhado de um teste de balanceamento documentado.
- Aplicação do princípio da minimização: Coletar apenas os dados necessários para o objetivo específico da análise. Isso exige revisão dos questionários, checklists e ferramentas utilizadas.
- Estruturação de políticas específicas: Criar políticas internas que integrem compliance e proteção de dados, estabelecendo diretrizes claras para coleta, uso, retenção e descarte de informações.
- Transparência proporcional: Sempre que possível, incluir cláusulas contratuais informando que o parceiro poderá ser submetido a due diligence. Isso equilibra transparência e efetividade.
- Governança sobre terceiros: Garantir que fornecedores de serviços de due diligence também estejam em conformidade com a LGPD, com contratos adequados e auditorias periódicas.
- Limitação de retenção e revisão periódica: Estabelecer prazos claros para retenção de dados e revisar periodicamente a necessidade de manutenção dessas informações.
- Anonimização e pseudonimização: Sempre que possível, utilizar técnicas que reduzam a identificação direta dos titulares, especialmente em análises internas e relatórios.
Conclusão
A relação entre a LGPD e a due diligence de terceiros não é de incompatibilidade, mas de tensão produtiva. Enquanto a proteção de dados impõe limites necessários para preservação de direitos fundamentais, o compliance exige profundidade e rigor na análise de riscos. O desafio das organizações brasileiras está em encontrar o ponto de equilíbrio: conduzir investigações eficazes sem violar a privacidade dos indivíduos. Isso exige maturidade institucional, integração entre áreas e adoção de práticas baseadas em governança, proporcionalidade e responsabilidade.
Mais do que um obstáculo, a LGPD pode ser vista como uma oportunidade de evolução da due diligence — tornando-a mais estratégica, estruturada e alinhada com os valores contemporâneos de ética e transparência.
Conheça o Curso de Governança de Inteligência Artificial e Proteção de Dados
