Por André Damiani e Marina Dias*
Artigo publicado originalmente no Estadão
A poucos meses da vigência integral da Lei Geral de Proteção de Dados (LGPD) a pandemia de coronavírus produziu o isolamento social, forçando a população a desenvolver suas atividades profissionais em casa. Longe da estrutura corporativa, a rotina de trabalho moldou-se aos recursos capazes de conectar os indivíduos virtualmente. Assim, dados e informações sigilosas que antes eram compartilhados presencialmente em salas de reunião agora trafegam, de forma indiscriminada e sem qualquer proteção especial, por canais eletrônicos de alcance global (e-mail, Whatsapp, MS Team, Zoom etc.), alheios ao controle da empresa.
Daí a razão pela qual a LGPD ganhou destaque no contexto da pandemia. Sem prejuízo da possibilidade de novo adiamento do prazo de sua vacância, é certo que as autoridades exigirão conformidade com a legislação que regulamenta os princípios da proteção dos dados no Brasil. Em paralelo, o governo editou a MP 936/2020, flexibilizando algumas normas do trabalho à distância e permitindo a redução proporcional de salários e jornada, no propósito de minimizar os efeitos da crise econômica. Nesse contexto, como proteger as informações manipuladas no mundo digital?
Buscando esclarecer os riscos inerentes ao trabalho remoto, abordamos algumas questões fundamentais, de forma objetiva, para que as empresas possam direcionar esforços no intuito de prevenir incidentes com dados de pessoas físicas, sobretudo durante o período de quarentena. São vários os riscos de manipular dados pessoais em home office. Um dos principais inimigos da privacidade em tal situação é a constante proximidade de outras pessoas. É comum que o local da casa destinado à execução das atividades profissionais seja devassado por filhos pequenos, cônjuges ou demais membros da família, fato que propicia o indesejado vazamento e compartilhamento de informações e dados sigilosos.
Falta de infraestrutura adequada
Outro grande problema é a precariedade da infraestrutura doméstica. Seja pelo uso de aparelhos eletrônicos pessoais, seja pela vulnerabilidade da rede de internet domiciliar (wi-fi), o tráfego de dados em ambientes pouco preparados e não controlados favorece ataques externos e aumenta a possibilidade de perda do conteúdo manipulado.
Privacidade do colaborador
Nos termos da Consolidação das Leis do Trabalho (CLT), o controle de jornada incumbe ao empregador, por meio do registro do ponto; respeitada a privacidade do funcionário que, via de regra, é inviolável. Ora, no contexto da pandemia, esse controle será feito à distância, de forma ideal, por meio da coleta de dados de identificação e de geolocalização dos colaboradores, nos horários correspondentes ao início, às pausas (obrigatórias ou não) e ao término da jornada de trabalho. A MP 936/2020, por sua vez, admitiu a redução de salários proporcional à diminuição da jornada, impondo ao empregador a escolha de um mecanismo seguro de registro de ponto. Caso seja mal calibrado, esse monitoramento poderá constituir ofensa aos direitos fundamentais dos colaboradores e, por conseguinte, infração sujeita às mais severas sanções previstas na LGPD, bem como na legislação trabalhista em vigor.
Vale destacar, ainda, que o comportamento inadequado dos profissionais em relação aos dados tratados pela organização representa a principal causa de incidentes registrados nos países que já mergulharam nessa ampla sistemática de proteção à privacidade. No Brasil, o problema se repete. Por desconhecimento, é comum o compartilhamento de dados pessoais e outras informações sensíveis ou sigilosas por meio de redes sociais, e-mails pessoais livres de criptografia, plataformas abertas de videoconferência e outros canais de comunicação digital que expõem o conteúdo trafegado a riscos absolutamente incalculáveis.
Diante de tudo isso, como proteger os dados tratados à distância? Quais as melhores práticas para o trabalho remoto responsável, à luz da LGPD?
Antes de adotar qualquer medida de proteção, é importante saber qual o grau de aderência da sua operação empresarial às exigências da LGPD, sobretudo no contexto da pandemia. Esse diagnóstico trará assertividade ao processo de adequação, permitindo a implementação de soluções sob medida.
Nesse sentido, é importante investir num suporte de Tecnologia da Informação (TI). Com o auxílio de uma equipe profissional especializada em TI, é possível configurar os computadores que servirão ao home office para que acessem – mediante senha, prévia delimitação de escopo e prazo de validade – os documentos e informações disponíveis em nuvem ou na rede virtual privada de comunicação (VPN – Virtual Private Network); evita-se, assim, que tais documentos sejam transferidos ou “baixados” para o computador do usuário (download). A configuração ainda poderá restringir diversas outras atividades indesejáveis, como o uso de dispositivos USB; viabilizar o monitoramento de invasão da rede doméstica de internet e limitar o acesso do usuário a canais de comunicação pré-determinados.
Para se mitigar o risco de vazamento é possível lançar mão de recursos como o bloqueio automático da tela do computador, logo após a interrupção ou suspensão do uso. A necessidade de senha para restabelecer as funcionalidades do aparelho seria suficiente para impedir as crianças, por exemplo, de compartilharem dados por acidente.
Outro recurso excelente para a preservação da privacidade em home office é o uso de criptografia no compartilhamento de dados. A medida é simples de ser implementada, não requer investimento expressivo e impede acesso de terceiros a dados extraviados ou compartilhados indevidamente.
Mecanismo seguro de controle de jornada
Para controlar a jornada dos colaboradores em home office, o ideal é que a empresa invista em soluções tecnológicas que apresentem certificação digital padrão ICP-Brasil (presunção de veracidade e integridade das informações). É importante que a gestão dos dados coletados para essa finalidade esteja alinhada com as exigências da LGPD e da nova MP 936/2020 e demais normas trabalhistas; e que as ferramentas de coleta não armazenem o histórico de deslocamento. Tudo no propósito de resguardar a privacidade dos colaboradores e garantir o cumprimento dos deveres legais por parte da organização.
Para que as medidas de proteção sejam eficazes, é essencial que os profissionais em home office observem alguns padrões de comportamento em relação aos recursos disponibilizados pela empresa. E isso demanda conscientização. Assim, é importante que a empresa crie uma política de trabalho remoto e a difunda entre os colaboradores, reforçando os comportamentos esperados no ambiente doméstico.
Por outro lado, considerando que os incidentes com dados pessoais ameaçam um dos principais ativos da empresa – sua reputação – a corporação deve estar preparada e saber como agir diante de eventual crise. A preparação adequada nada mais é do que predefinir uma sequência de ações por meio das quais os recursos da empresa se unem no propósito de apresentar respostas rápidas para controle da repercussão do fato e redução de danos. Para tanto, contar com apoio especializado é fundamental. Profissionais com experiência para antever os possíveis estressores e, a partir deles, apresentar soluções customizadas, são a chave para a condução bem-sucedida de qualquer crise.
Uma vez esclarecidos alguns dos riscos envolvidos no tratamento de dados em home office, fato é que o descuido com a privacidade, a partir do início da vigência da LGPD, pode significar um grande prejuízo reputacional e financeiro para a organização. Bem por isso, mesmo durante a presente crise sanitária é necessário dedicar atenção ao desafio da conformidade. O primeiro passo é, portanto, identificar as fragilidades internas em relação às exigências da lei, para, a partir delas, criar mecanismos de correção e prevenção de irregularidades na atuação profissional em ambiente doméstico. Medidas de segurança adotadas de forma sistemática e consciente reduzirão as chances de vazamento e, certamente, incrementarão a gestão de melhoria contínua da governança dos dados, quando do retorno dos colaboradores ao ambiente corporativo.
*André Damiani, sócio-fundador do escritório Damiani Sociedade de Advogados, é pós-graduado em Direito Penal Econômico pela Fundação Getúlio Vargas (GV-LAW)
*Marina Dias, advogada associada no escritório Damiani Sociedade de Advogados, é LL.M em Direito Societário e pós-graduada em Compliance pelo Insper. Pós-graduada em Direito Penal Econômico e Europeu pela Universidade de Coimbra em parceria com o IBCCRIM