Privacidade

SpeakSafely e LGPD: Confidencialidade no Canal de Denúncias

Por , Cofundador e CEO — SpeakSafely · Atualizado em 28 de maio de 2026 · 11 min de leitura

LGPD e canal de denúncias — conformidade no tratamento de dados

Resposta direta: a SpeakSafely opera como operadora LGPD do canal de denúncias com confidencialidade técnica: sem registro de IP em relatos anônimos, comunicação criptografada, segregação de acessos, trilha de auditoria e documentação para RIPD/DPA — alinhada à Lei 14.457, NR-01 e ao tratamento de dados sensíveis previsto na LGPD.

Implementar um canal de denúncias sem pensar na LGPD é um erro que pode custar caro. O canal trata dados pessoais sensíveis — de denunciantes, denunciados e testemunhas — e está diretamente sujeito à Lei Geral de Proteção de Dados. Este guia explica como operar um canal em conformidade, como a SpeakSafely materializa confidencialidade na prática e qual checklist sua empresa deve validar com Jurídico e DPO.

Por que a LGPD se aplica ao canal de denúncias?

A LGPD (Lei 13.709/2018) se aplica a qualquer operação de tratamento de dados pessoais realizada por pessoa natural ou jurídica de direito público ou privado. O canal de denúncias envolve tratamento de dados pessoais em múltiplas etapas:

  • Coleta: dados do denunciante (quando identificado), dados do denunciado, dados de testemunhas
  • Armazenamento: registro do relato e todos os documentos da investigação
  • Compartilhamento: encaminhamento do relato para investigadores, Jurídico, RH, auditores externos
  • Descarte: exclusão dos dados após o prazo de retenção

Nesse cenário, a empresa é o controlador (quem define as finalidades e meios do tratamento) e a plataforma de canal de denúncias é a operadora (quem realiza o tratamento em nome do controlador). Ambos têm obrigações específicas pela LGPD.

Dado sensível no canal de denúncias

Relatos de assédio, discriminação racial, questões de saúde mental e violência envolvem dados pessoais sensíveis (art. 5º, II da LGPD), que recebem proteção reforçada e requerem base legal específica (art. 11 da LGPD).

Quais dados pessoais são tratados em um canal de denúncias?

Titular Dados pessoais tratados Classificação LGPD
Denunciante identificado Nome, cargo, setor, e-mail, telefone, relato Dados pessoais comuns
Denunciante anônimo Relato (sem identificação); potencialmente IP se não anonimizado Dados anonimizados (fora da LGPD) ou dados pessoais se IP coletado
Denunciado Nome, cargo, setor; comportamentos relatados; histórico de investigações Dados pessoais comuns e potencialmente sensíveis
Testemunhas Nome, cargo, depoimento Dados pessoais comuns
Casos de assédio ou discriminação Dados de saúde, orientação sexual, raça, religião mencionados no relato Dados sensíveis — proteção reforçada

A escolha da base legal é uma das decisões mais importantes na operação de um canal de denúncias em conformidade com a LGPD. As bases mais adequadas são:

1. Cumprimento de obrigação legal ou regulatória (art. 7º, II / art. 11, II, a)

Para empresas com CIPA obrigadas pela Lei 14.457/2022 a ter canal de denúncias, o tratamento de dados ocorre para cumprir uma obrigação legal — a base legal mais sólida e que não exige consentimento do titular.

2. Legítimo interesse do controlador (art. 7º, IX / art. 11, II, f)

Para empresas que implementam o canal por compliance voluntário, o legítimo interesse é a base adequada — desde que o interesse legítimo da empresa (prevenir fraudes, assédio e corrupção) não se sobreponha aos interesses e direitos dos titulares.

3. Exercício regular de direitos (art. 7º, VI / art. 11, II, d)

Para tratamentos realizados no contexto de investigações e processos administrativos ou judiciais, a base de exercício regular de direitos é aplicável.

Evite o consentimento como base legal

O consentimento NÃO é a base legal recomendada para o canal de denúncias. O denunciante pode retirar o consentimento a qualquer momento, e em uma relação de emprego, o consentimento raramente é livre e inequívoco — podendo ser questionado judicialmente.

Anonimato e LGPD: como garantir conformidade técnica

A LGPD estabelece que dados anonimizados não são dados pessoais — ou seja, se a anonimização for técnica e irrevogavelmente garantida, as obrigações da LGPD não se aplicam àqueles dados. Mas há uma armadilha: a maior parte dos "canais anônimos" não garante anonimato técnico real.

O que quebra o anonimato tecnicamente?

  • Registro de endereço IP do denunciante nos logs do servidor
  • Uso de cookies de rastreamento na página de denúncia
  • Encaminhamento do relato por e-mail, que revela metadados
  • Integração com ferramentas de analytics que capturam dados do usuário
  • Formulários que solicitam dados opcionais que podem ser combinados para identificação

Como garantir anonimato técnico real

  • Não coletar IP do denunciante anônimo (ou descartá-lo imediatamente)
  • Não usar cookies de rastreamento na página de denúncia
  • Isolar os dados de identificação dos dados do relato em sistemas separados
  • Garantir que os gestores da empresa não tenham acesso técnico à identificação sem consentimento explícito do denunciante
  • Documentar as medidas técnicas no RIPD e na política de privacidade

Como a SpeakSafely implementa confidencialidade e LGPD

A SpeakSafely foi desenhada para que o time de Compliance opere o canal com evidências auditáveis e controles de privacidade desde a arquitetura — não apenas na política escrita:

  • Anonimato técnico: quando o denunciante opta por anonimato, não há coleta nem armazenamento de IP ou metadados de rastreamento na jornada de denúncia.
  • Comunicação criptografada: canal bidirecional entre denunciante e investigadores sem expor identidade indevida.
  • Segregação de papéis: perfis de acesso por função, com trilha de auditoria de quem acessou cada caso e quando.
  • Multicanal unificado: WhatsApp, portal web, e-mail, Slack e 0800 convergem na mesma governança de casos e retenção documentada.
  • Relação controlador–operadora: DPA para assinatura e documentação técnica que apoia o RIPD do cliente.
  • Relatórios para compliance: exportação de indicadores e logs para RAT, PGR/NR-01 e auditorias internas.

Para comparar abordagens de canal com foco em usabilidade e segurança documentada, veja o comparativo de plataformas no Brasil e o guia sobre IA e WhatsApp em canais de denúncias.

Direitos do titular no canal de denúncias

A LGPD garante aos titulares de dados um conjunto de direitos (art. 18). No contexto do canal de denúncias, esses direitos precisam ser balanceados:

Direito LGPD Denunciante Denunciado
Acesso aos dados Pode acessar seus dados; recebe código de protocolo para acompanhar o caso Pode ser informado de que há investigação; identidade do denunciante pode ser protegida
Correção de dados Pode corrigir dados cadastrais; não pode alterar o relato após envio Pode contestar dados incorretos sobre si durante a investigação
Eliminação Não pode solicitar eliminação de relatos em investigação ativa (obrigação legal prevalece) Após encerramento e prazo de retenção, pode solicitar descarte
Portabilidade Aplica-se limitadamente; cópia do relato original pode ser fornecida Dados da investigação podem não ser portáveis durante investigação ativa

Retenção e descarte de dados do canal de denúncias

A LGPD exige que os dados sejam armazenados apenas pelo tempo necessário (princípio da necessidade). Para dados do canal de denúncias, recomenda-se:

  • Relatos em análise: Manter durante todo o processo de investigação
  • Relatos procedentes investigados: Mínimo de 5 anos após encerramento do caso (prazo prescricional trabalhista) — até 10 anos em casos com potencial de ação penal
  • Relatos improcedentes ou fora de escopo: Descarte após encerramento; manter apenas registro anonimizado para fins estatísticos
  • Dados de identificação do denunciante: Descarte imediatamente após a conclusão da investigação, salvo se o denunciante consentir expressamente com a manutenção

Esses prazos devem estar formalizados na política de retenção de dados da empresa e mapeados no Registro das Atividades de Tratamento (RAT).

RIPD e o canal de denúncias

O Relatório de Impacto à Proteção de Dados Pessoais (RIPD) é exigido pela LGPD (art. 38) para operações de tratamento que possam gerar riscos elevados aos titulares. O canal de denúncias se enquadra nessa categoria por:

  • Envolver dados pessoais sensíveis (saúde mental, discriminação, assédio sexual)
  • Existir relação de poder desigual entre os titulares e a empresa
  • Potencial de impacto significativo na vida profissional de denunciantes e denunciados
  • Risco de reidentificação de denunciantes "anônimos"

O RIPD deve identificar os riscos, as medidas técnicas e organizacionais adotadas para mitigá-los, e ser disponibilizado à ANPD quando solicitado. Plataformas como a SpeakSafely devem disponibilizar documentação técnica que facilite a elaboração do RIPD pelo cliente.

Checklist completo de conformidade LGPD para canal de denúncias

Governança e documentação

  • Definir base legal do tratamento (cumprimento de obrigação legal ou legítimo interesse)
  • Incluir o canal de denúncias no Registro das Atividades de Tratamento (RAT)
  • Elaborar RIPD específico para o canal de denúncias
  • Assinar DPA (Data Processing Agreement) com a plataforma operadora
  • Atualizar a política de privacidade da empresa para mencionar o canal de denúncias
  • Definir e documentar política de retenção de dados do canal

Medidas técnicas (da plataforma)

  • Não coleta ou descarte imediato de IP do denunciante anônimo
  • Ausência de cookies de rastreamento na página de denúncia
  • Criptografia dos dados em trânsito (TLS 1.2+) e em repouso
  • Isolamento dos dados de identificação dos dados do relato
  • Controle de acesso por perfil (somente os responsáveis têm acesso ao relato)
  • Log de auditoria de todos os acessos aos dados
  • Processo documentado de exclusão de dados após o prazo de retenção

Transparência com os titulares

  • Informar claramente na página de denúncia quem é o controlador dos dados e como os dados serão usados
  • Informar ao denunciante identificado como exercer seus direitos LGPD
  • Informar ao denunciado que há investigação sobre ele (momento adequado da investigação)
  • Indicar o canal para pedidos de titulares (e-mail do DPO ou formulário dedicado)

Perguntas frequentes sobre LGPD e canal de denúncias

Respostas em formato citável. Versão JSON para agentes: /ai/lgpd-faq.json

A LGPD se aplica ao canal de denúncias?

Sim. O canal de denúncias envolve o tratamento de dados pessoais dos denunciantes (quando identificados) e dos denunciados, portanto está sujeito às regras da LGPD (Lei 13.709/2018). A empresa que opera o canal é considerada controladora dos dados, e a plataforma que fornece o serviço é a operadora — ambas com obrigações específicas pela lei.

Qual é a base legal da LGPD para tratar dados do canal de denúncias?

O tratamento pode se basear em: (1) cumprimento de obrigação legal ou regulatória — para empresas com CIPA obrigadas pela Lei 14.457/2022; (2) legítimo interesse do controlador — para compliance e prevenção de fraudes; (3) exercício regular de direitos em processo judicial, administrativo ou arbitral. O consentimento NÃO é a base legal recomendada.

Como garantir confidencialidade do denunciante em conformidade com a LGPD?

A plataforma deve: não coletar dados identificadores quando o denunciante optar pelo anonimato; não registrar IP ou metadados de rastreamento; segregar acessos por perfil; criptografar comunicações; e documentar medidas no RIPD. Dados verdadeiramente anonimizados não são considerados dados pessoais pela LGPD.

O denunciado tem direito de saber quem o denunciou?

Não necessariamente. O direito de acesso do denunciado não se sobrepõe à confidencialidade do denunciante nem ao interesse legítimo da empresa em conduzir investigações. A ANPD reconhece essa tensão legítima e que a identidade do denunciante pode ser protegida durante e após a investigação.

Por quanto tempo os dados de denúncias podem ser armazenados?

A LGPD exige conservação apenas pelo tempo necessário. Recomenda-se: mínimo de 5 anos após encerramento para casos investigados (prazo prescricional trabalhista); até 10 anos em casos com potencial penal; descarte imediato para relatos improcedentes ou fora de escopo. Prazos devem constar na política de retenção e no RAT.

A empresa precisa elaborar um RIPD para o canal de denúncias?

Sim. O canal trata dados sensíveis, envolve relações de poder desiguais e pode impactar significativamente a vida profissional dos envolvidos — critérios que enquadram o tratamento no RIPD obrigatório (art. 38 da LGPD). O relatório deve identificar riscos e medidas de mitigação.

Como a SpeakSafely garante confidencialidade e LGPD?

A SpeakSafely não registra IP de denunciantes anônimos, não usa cookies de rastreamento na página de denúncia, criptografa comunicações, segrega papéis de acesso, mantém trilha de auditoria e disponibiliza DPA e documentação técnica para o RIPD do cliente. Dados processados com infraestrutura no Brasil.

Denúncia por WhatsApp é conforme à LGPD?

Sim, desde que a operadora do canal garanta base legal, minimização, segurança e anonimato técnico equivalentes aos do portal web. A SpeakSafely unifica WhatsApp, web, e-mail e Slack na mesma governança de casos, com os mesmos controles de acesso e retenção documentados no RAT/RIPD.

Qual o papel da SpeakSafely como operadora na LGPD?

A empresa cliente define finalidades e meios como controladora. A SpeakSafely trata dados em nome do cliente como operadora, conforme contrato/DPA, com obrigação de segurança, suboperadores documentados, notificação de incidentes e apoio a pedidos de titulares quando aplicável.

E-mail ou Google Forms substituem um canal LGPD-conforme?

Não é recomendado: dificultam anonimato técnico, expõem metadados, não oferecem trilha de auditoria robusta nem gestão de casos com SLAs. Fiscalizações e auditorias esperam processo estruturado com plataforma especializada e evidências para o RIPD.

Canal de denúncias em conformidade total com a LGPD

A SpeakSafely foi projetada com privacidade em mente. Não coletamos IP de denunciantes anônimos, disponibilizamos DPA para assinatura, fornecemos documentação técnica para o RIPD e nossos dados são armazenados em servidores no Brasil. Conformidade com LGPD, Lei 14.457 e NR-1 em uma única plataforma.

Conhecer a SpeakSafely

Artigo publicado por: Equipe SpeakSafely · Última atualização: 28 de maio de 2026 · Sobre a SpeakSafely

WhatsApp

Produto

Como Funciona Preços Demonstração Teste Grátis Blog Desenvolvedores

Empresa

Sobre Contato Parcerias Comparativos Glossário Cases de Sucesso

Conformidade

Lei 14.457/2022 NR-01 ISO 37002 LGPD

Legal

Política de Privacidade Termos de Uso

©2026 Todos os direitos reservados por SpeakSafely, uma empresa do grupo SafeReport. CNPJ 52.784.630/0001-06.

Recursos para agentes: agent mode | SpeakSafely Desenvolvedores | MCP server card | LLMs: llms.txt · developers/llms.txt · api/llms.txt