Com o avanço da COVID-19, a doença provocada pelo novo coronavírus, muitas empresas estão adotando medidas de prevenção para proteger a saúde de seus empregados e colaboradores. Dentre elas está a implementação do trabalho remoto, o popular “home office”, previsto nos arts. 75-A a 75-E da CLT e que também foi objeto da polêmica Medida Provisória nº 927/2020.
Apesar dos diversos benefícios proporcionados pelo teletrabalho, faz-se necessário atentar a uma série de implicações que essa modalidade de trabalho traz, de modo a garantir a segurança e a privacidade das informações e um tratamento de dados satisfatório.
Antes de adentrar ao tema em si, mostra-se necessário conceituar o tratamento de dados e medidas de segurança. Como bem se sabe, conforme a Lei Geral de Proteção de Dados (LGPD), que entrará em vigor em agosto, tratamento é toda operação realizada com dados pessoais[1]. Em suma, pode-se dizer que qualquer manipulação de dados ocorrida durante o home office será considerada um tratamento aos olhos da lei.
Para um tratamento seguro e eficaz, a LGPD prevê que deverão ser adotadas “medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito”[2], bem como regras e padrões de boas práticas e governança para o tratamento dos dados[3], ou seja, aquele que realizar o tratamento deve adotar todas as medidas necessárias e disponíveis à época para garantir a segurança e proteção dos dados tratados.
A ideia é garantir o direito fundamental de privacidade do titular a partir da adoção de, entre outras, técnicas e medidas de Segurança da Informação. Portanto, de suma importância o entendimento que segurança e privacidade são conceitos distintos e que nem sempre estão juntos, mas, para atender aos fins da LGPD, devem “caminhar de mãos dadas”.
Infelizmente, como a Agência Nacional de Proteção de Dados (ANPD) ainda não foi instituída, não há informações sobre os padrões técnicos mínimos a serem adotados durante o tratamento de dados, mas isso não impede que a empresa e seus colaboradores tomem as devidas precauções e adotem medidas de segurança para evitar incidentes, como perda de dados, invasões por hackers ou acesso de pessoas não autorizadas.
Nesse sentir, é preciso portar em mente que, normalmente, o ambiente doméstico está mais suscetível a incidentes, pois não tem a mesma estrutura de segurança oferecida no ambiente corporativo. Os documentos por vezes não são devidamente criptografados, os dispositivos não têm proteção suficiente contra invasões de rede e o próprio indivíduo tende a “baixar a guarda” em razão de uma falsa sensação de segurança.
Assim, mostra-se necessária a adoção de diversas medidas de ambos os lados, empregador e empregado, de modo a assegurar a segurança e proteção dos dados tratados pela empresa.
Do lado do empregador, tem-se que a primeira medida a ser adotada é a elaboração de políticas e procedimentos de home office, bem como a oferta de treinamento específico aos colaboradores. Isso é essencial para que todos tenham um conhecimento geral sobre as medidas adotadas pela empresa e para que as internalizem, pois as medidas apenas serão eficazes se todos as colocarem em prática.
O ideal é a elaboração de uma proteção by design, uma proteção pensada e projetada para a empresa em específico, adaptada para sua realidade. Para além da adoção de uma política de segurança, deve-se adotar uma postura que, desde a concepção das operações de tratamento e mesmo após seu término, haja uma preocupação com a proteção dos dados.
Na impossibilidade de se elaborar uma política robusta - tendo em vista o atual momento vivenciado por todos -, a empresa poderá se valer da criação de um documento mais simples, definindo regras de maneira clara e objetiva, as quais serão abordadas abaixo, bem como a definição de estratégias de segurança, garantindo a ciência e o entendimento por todos os funcionários.
Alguns exemplos de estratégias que podem ser adotadas, sem prejuízo de outras, são as seguintes:
● políticas de utilização de equipamentos (computadores, Smartphones, etc), autorizando e registrando quais poderão ser usados;
● níveis de acesso e permissões (evitando a instalação de softwares de terceiros, etc);
● backups, comunicando o colaborador em como ele deverá prosseguir caso necessite a restauração de algum documento;
● políticas de senhas;
● autenticação de dois fatores;
● desconexão automática de e-mails e logins em geral;
● pseudoanonimizar e criptografar toda e qualquer transferência de dados;
● canais e/ou aplicativos oficiais de comunicação (principalmente para troca de dados, informações, documentos, realização de calls, etc);
● plano de resposta a incidentes, dando ciência ao colaborador das medidas que podem ser adotadas (como o bloqueio ou restauração de um Smartphones em caso de extravio, vazamento de dados ou ataque hacker).
Adiante, uma das principais medidas a serem adotadas pela empresa é o oferecimento de um ambiente seguro para o tratamento de dados e desenvolvimento dos trabalhos como um todo, de modo a permitir a confiabilidade, integridade e disponibilidade das informações. Isso pode ocorrer através do fornecimento de VPNs (rede privada virtual) ou mesmo serviços de nuvem.
Esses instrumentos podem conferir criptografias satisfatórias aos tratamentos de dados e comunicação entre os membros da empresa. Do mesmo modo, eles permitem configurações e monitoramentos gerais, oferecendo uma visão holística sobre as ações dos empregados e permitindo identificar mais rapidamente episódios de vazamento e incidentes, garantindo uma resposta mais eficiente.
Entretanto, a empresa não poderá fazer uso de softwares que permitem um rastreio e monitoramento mais incisivo das ações de seus funcionários, como programas que registram o uso do teclado ou os movimentos do mouse, pois estará violando o direito à privacidade de seus empregados, principalmente quando o mesmo dispositivo for usado para fins corporativos e pessoais.
Vale destacar que, no caso da contratação de soluções oferecidas por terceiros, a empresa deverá ter cautela e buscar uma opção confiável, uma vez que todos os dados serão necessariamente trafegados pela rede e poderão ser interceptados pelo administrador.
Note-se que a empresa não deve apenas se preocupar em garantir a segurança no tratamento de dados de seus clientes ou terceiros, mas também atentar em como gere os dados pessoais de seus colaboradores. Isso é necessário porque, a depender das políticas adotadas, é possível que ela obtenha acesso a dados pessoais, sensíveis ou não, que fogem do escopo do contrato de trabalho, como informações do tráfego da rede pessoal dos seus colaboradores, não se limitando ao mero endereço IP - acesso esse que pode se estender aos demais moradores da residência conectados à mesma rede do colaborador.
Outras situações que poderão surgir durante o isolamento social ou quarentena e que irão exigir um cuidado maior com a manipulação de dados de seus colaboradores são: a elaboração de uma lista temporária de telefones de contato dos colaboradores, algo muito comum em razão da impossibilidade de utilização do telefone corporativo; e a possibilidade do colaborador contrair a doença COVID-19 ou entrar no rol de suspeitos.
No primeiro exemplo, caso a lista a ser fornecida a clientes ou terceiros contenha números de telefone pessoais, será necessário, antes de sua divulgação, obter o consentimento específico dos respectivos colaboradores para esse fim. Para evitar transtornos com a divulgação de números pessoais, recomenda-se a utilização de serviços baseados em PABX ou VoIP, os quais poderão direcionar as ligações corporativas aos números pessoais sem exposição destes, valendo a cautela para realização de due diligence antes da contratação desses serviços.
Já no segundo cenário, é de suma importância que a empresa garanta a privacidade da informação sobre o estado de saúde de seu colaborador, uma vez que se trata de dado pessoal sensível. De fato, algumas ações de contenção e em prol da saúde pública deverão ser adotadas pelo empregador, porém o sigilo dessa informação deverá ser resguardado e compartilhado estritamente com as pessoas necessárias para adoção das medidas necessárias.
Não menos importante é a preocupação com o manuseio de documentos físicos, que também devem ter sua segurança garantida. A empresa deverá determinar se os colaboradores poderão levá-los para suas casas e, caso positivo, estipular quais documentos poderão ser levados e quem o poderá fazer. Aqui, é necessário um controle mais rígido pois esses documentos tendem a ser mais negligenciados que sua contraparte digital.
Mas não é só a empresa que deverá cuidar da privacidade e da segurança da informação no período de home office. Medidas tão importantes quanto hão de ser observadas pelo outro polo: o empregado. Essas medidas serão abordadas na segunda parte deste artigo.
_________________________
[1] Art. 5º, X - tratamento: toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração.
[2] Art. 46, caput, Lei nº 13.709/2018.
[3] Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as condições de organização, o regime de funcionamento, os procedimentos, incluindo reclamações e petições de titulares, as normas de segurança, os padrões técnicos, as obrigações específicas para os diversos envolvidos no tratamento, as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais.
_________________________