Boas práticas de sigilo, antirretaliação e integração entre funções de apuração — e como isso repercute em programas de integridade no setor público e privado.

 

A Controladoria-Geral da União (CGU) voltou a colocar em evidência um ponto que, na prática, define o sucesso (ou o fracasso) de uma apuração: o denunciante só relata quando percebe que o sistema é confiável. Em notícia publicada em 5 de maio de 2026, a CGU destacou orientações operacionais discutidas no webinário “Proteção ao denunciante: do relato à apuração segura”, com foco no tratamento de denúncias no Fala.BR e na atuação integrada entre ouvidorias e corregedorias. 

Embora o evento tenha como público natural unidades do Poder Executivo federal, o conteúdo é útil também para empresas — sobretudo as que contratam com o setor público, reguladas por mecanismos de integridade e sujeitas a auditorias — porque consolida padrões de sigilo, rastreabilidade e prevenção de retaliação que vêm sendo exigidos como boa prática de governança.

 

O que está em jogo: não é “só um canal”, é um procedimento

Um canal de denúncia não é um e-mail ou uma caixa postal. É um procedimento que precisa responder a perguntas concretas: quem acessa os dados do denunciante, em qual momento, com qual justificativa e por quanto tempo? Como a denúncia é triada? Em que hipótese a área apuratória precisa conhecer a identidade? Como se reduz o risco de vazamento? Quem decide sobre encaminhamento à corregedoria, auditoria, comissões de apuração, ou até mesmo órgãos externos?

Essas perguntas importam porque o conflito típico é conhecido: de um lado, a apuração precisa de informação; de outro, a exposição do denunciante (ou de pessoas citadas) pode gerar retaliação, destruição de provas, contaminação do processo e, para a organização, passivos trabalhistas, reputacionais e sancionatórios.

 

 Bases normativas: o “dever de proteger” tem nome e artigo

No âmbito federal, o arcabouço que sustenta a proteção ao denunciante se distribui em camadas:

– Lei nº 13.460/2017 (direitos do usuário de serviços públicos), que é regulamentada no plano federal e dá fundamento à estrutura de ouvidorias e ao tratamento de manifestações, incluindo denúncias.

– Decreto nº 9.492/2018, que regulamenta a Lei nº 13.460/2017 e institui o Sistema de Ouvidoria do Poder Executivo federal (SisOuv), prevendo a integração/uso da plataforma Fala.BR.

– Decreto nº 10.153/2019, específico sobre salvaguardas de proteção à identidade de denunciantes de ilícitos e irregularidades contra a administração pública federal.

– Decreto nº 10.890/2021, que alterou o Decreto nº 9.492/2018 e o Decreto nº 10.153/2019 para dispor sobre proteção ao denunciante, incluindo o enfrentamento de retaliações.

– Normas procedimentais, com destaque para a Portaria CGU nº 581/2021, que detalha o “como fazer” dentro do SisOuv, inclusive com regras sobre necessidade de conhecer, consentimento, compartilhamento e pseudonimização.

Esse conjunto é relevante para empresas por dois motivos. Primeiro, porque fornecedores e parceiros do Estado convivem com apurações e processos em que o padrão de proteção ao denunciante é referência. Segundo, porque o mesmo raciocínio normativo dialoga com o setor privado em temas como Programa de Integridade (Lei nº 12.846/2013 e Decreto nº 11.129/2022), proteção de dados (Lei nº 13.709/2018 – LGPD) e prevenção de ilícitos.

 

Identidade, “necessidade de conhecer” e o ponto cego mais comum

A Portaria CGU nº 581/2021 trata a proteção à identidade como medida desde o recebimento da denúncia, e não como etapa posterior. A lógica é simples: se o sistema permite que muitas pessoas vejam dados identificadores no início, a organização perde o controle justamente no momento mais sensível.

Do ponto de vista operacional, o que costuma falhar é o excesso de acesso: triagem feita por equipes grandes; envio de e-mails com relato completo; anexos que “entregam” o denunciante (voz, imagem, metadados, narrativas em primeira pessoa, indicação de setor/turno/escala que permite dedução). A orientação da CGU ajuda a lembrar que, mesmo quando a identidade não é formalmente compartilhada, ela pode ser inferida — e isso, na prática, é o que acende o gatilho de retaliação.

 

Pseudonimização não é anonimato: é técnica de redução de risco

No vocabulário institucional, a pseudonimização é um mecanismo para permitir que a apuração avance sem expor desnecessariamente o denunciante. A Portaria CGU nº 581/2021 descreve o procedimento e aponta a necessidade de suprimir elementos de identificação também na descrição do fato e anexos.

Para empresas, o paralelo é imediato: relatórios de investigação e dossiês internos precisam ser estruturados para circular com segurança. Quando há necessidade de encaminhamento para auditoria, comitês, conselho, ou mesmo para suporte externo, a ausência de pseudonimização aumenta o risco de vazamento e pode gerar discussão sobre conformidade com a LGPD (princípios de necessidade, finalidade e segurança), além de tensionar o próprio dever de confidencialidade assumido pelo programa de integridade.

 

O fluxo “ouvidoria ↔ corregedoria”: o valor está na transição

A notícia da CGU enfatiza a atuação integrada de ouvidorias e corregedorias e “cuidados ao longo de todas as etapas”. Na prática, isso chama atenção para o momento mais vulnerável: a passagem de bastão entre quem recebe/triage e quem apura.

É nessa transição que se define:

– qual parte do relato é essencial para instaurar procedimento;

– que evidências devem ser preservadas e como documentar cadeia de custódia;

– como registrar decisões de triagem (por exemplo, arquivamento fundamentado, complementação de dados, ou encaminhamento);

– como limitar o número de pessoas que tiveram contato com dados sensíveis.

Organizações que não padronizam essa transição acabam com apurações longas, contestadas e vulneráveis: questiona-se parcialidade, quebra de sigilo e até mesmo a validade de atos internos (o que pode se refletir em processos administrativos e judiciais).

 

Retaliação: risco jurídico imediato e frequentemente subestimado

O Decreto nº 10.890/2021 reforça a agenda de proteção contra retaliações no âmbito federal. No setor privado, a retaliação costuma aparecer em formas “sutis” (isolamento, mudança de escala, metas inviáveis, exclusão de projetos) que depois alimentam ações trabalhistas e pedidos de indenização.

Além disso, a retaliação pode comprometer a colaboração futura e criar um ambiente em que o canal de denúncia existe apenas no papel — o que é especialmente perigoso para empresas que dependem de atenuantes e critérios de avaliação de programas de integridade em processos sancionatórios (Lei nº 12.846/2013 e Decreto nº 11.129/2022).

 

Onde estão as oportunidades e os riscos para clientes

Riscos típicos que vemos em diagnósticos de compliance:

– promessa de confidencialidade que não se sustenta (muitas pessoas com acesso, ausência de trilha de auditoria);

– falta de regras sobre quando a identidade é necessária e quem autoriza o acesso;

– investigações sem documentação adequada (decisões de triagem sem registro, ausência de matriz de risco e plano de apuração);

– tratamento de dados pessoais sem base jurídica clara, sem retenção definida e sem medidas proporcionais de segurança.

 

Oportunidades:

– redesenhar o fluxo do canal com mecanismos de pseudonimização e segregação de funções;

– rever templates de relatórios e protocolos de preservação de evidências;

– treinar lideranças para evitar retaliação e para saber conduzir comunicações internas durante apurações;

– alinhar o canal de denúncias ao programa de integridade e à governança de dados (LGPD), reduzindo risco de sanções e melhorando a qualidade das apurações.

A mensagem central do movimento da CGU é clara: apurar bem exige tanto técnica investigativa quanto arquitetura institucional. Proteger o denunciante não é um “extra”; é uma condição para que a denúncia exista, para que a prova sobreviva e para que a resposta da organização seja defensável.

 

Fontes:

CGU debate proteção ao denunciante e fluxos seguros de apuração de irregularidades em webinário