Segurança da informação e monitoramento corporativo em tempos de LGPD
Com a promulgação da GDPR e da brasileira LGPD, empresas entenderam a necessidade de fortalecer seus processos e ferramentas de segurança de informação, uma vez que seria inócuo tratar os dados pessoais de forma adequada, mas sem segurança, com possibilidade de gerar data breaches (vazamentos de dados).
Contudo, se pergunta: poderiam as empresas estabelecerem controles de monitoramento e investigação corporativa, face ao direito constitucional à privacidade, sendo ainda este um dos princípios da LGPD?
O Direito Brasileiro oferece ao indivíduo o direito à privacidade, ou seja, o “direito de estar só”, de fazer o que bem entender, sem a interferência de ninguém. O tema privacidade está previsto no artigo 5º, Inciso X, da Constituição Federal: “são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito à indenização pelo dano material ou moral decorrente de sua violação”, e ainda na Declaração Universal dos Direitos Humanos — artigo XII: “Ninguém será sujeito a interferências na sua vida privada, na sua família, no seu lar ou na sua correspondência, nem a ataques à sua honra e reputação. Toda pessoa tem direito à proteção da lei contra tais interferências ou ataques”.
Por consequência, na atualidade temos a garantia de privacidade tanto na vida real, quanto na vida virtual. Essa “intimidade virtual” também é resguardada por lei.
Mas o direito à privacidade não é o único direito envolvido na relação entre empresas e colaboradores quanto ao monitoramento dos computadores. Vale lembrar que as empresas têm a propriedade da estação de trabalho, do acesso à Internet e do e-mail corporativo (seunome@nomedaempresa.com.br). Quem fornece os meios para se trabalhar, também tem seus direitos. Desta feita, é assegurado às empresas o direito à propriedade, pelo mesmo artigo 5º, da Constituição Federal, no inciso XXII: “é garantido o direito de propriedade”.
No mundo corporativo, a Internet e outros meios eletrônicos de comunicação tornaram-se ferramentas de trabalho, fornecidas, em certos casos, pela empresa aos seus empregados, possibilitando agilidade na comunicação.
Sendo esta ferramenta mal utilizada, compromete-se não só a imagem e segurança da empresa como também o desempenho das tarefas.
A empresa tem o direito de proteger seu patrimônio, ainda, pelo Código Civil, artigo 1.228: “o proprietário tem a faculdade de usar, gozar e dispor da coisa, e o direito de reavê-la do poder de quem quer que injustamente a possua ou detenha” — o que quer dizer que, além de adquirir o bem, o indivíduo pode fazer o que quiser com o que tem e de reaver o que lhe for tirado.
No meio jurídico, quando temos questões deste tipo, em que há um conflito de premissas constitucionais a serem aplicadas em um mesmo caso, tenta-se utilizar a proporcionalidade e a razoabilidade para evitar que um direito constitucional se sobreponha a outro.
Quanto à questão das empresas poderem acessar qualquer conteúdo do correio eletrônico dos seus funcionários, o Tribunal Superior do Trabalho, em decisão de quase duas décadas (TST - AIRR 613/2000), determinou que o empregador tem o direito de monitorar os e-mails corporativos e o acesso à internet por parte de seus empregados, entendendo, em suma, que a empresa é a proprietária dos instrumentos de trabalho utilizados para o acesso e de que o ambiente de trabalho não é um ambiente com expectativa de privacidade.
Como o e-mail, o acesso à Internet e o computador são de propriedade da empresa, a justiça avaliou que não há problema em fiscalizar que tipo de uso os funcionários estão fazendo de sua propriedade.
Outro ponto polêmico é a questão da “Negligência na Vigilância”, uma vez que “a culpa do responsável consiste em não haver exercido, como deveria, o dever de vigiar, de fiscalizar ou de não haver retirado do serviço ou de haver aceito quem não podia exercer com toda correção o encargo”. (Pontes de Miranda).
No mesmo sentido, o próprio Código Civil Brasileiro é expresso em afirmar que os empregadores são responsáveis por reparar os danos causados “por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir, ou em razão dele”[1], e pior, prevê que mesmo em caso de inexistência de culpa de sua parte, os empregadores responderão pelos atos dos empregados[2].
A Lei Geral de Proteção de Dados, por sua vez, determina que os agentes de tratamento de dados, no caso as empresas, devem, dentre outras coisas, adotar medidas administrativas para garantir a segurança de dados pessoais[3], o que justifica, também, a adoção de medidas de controle quanto ao exercício do trabalho de seus funcionários, haja vista que muitos dos casos de acessos indevidos e vazamentos de dados acontecem de dentro para fora, ou seja, acontecem por dolo ou culpa dos próprios colaboradores.
Além do mais, as empresas têm o direito de cuidarem de sua imagem ou marca na internet, além de terem responsabilidade sobre as atitudes de seus empregados em determinadas situações.
Outro problema que vemos nesta questão é quanto ao fato do empregado acessar suas correspondências particulares no horário de trabalho. Esta atitude pode ir contra o poder de direção da empresa, que tem previsão na Legislação Trabalhista, além de poder caracterizar uma demissão por justa causa, caso isto ocorra com frequência, durante a jornada de trabalho. A legislação prevê a demissão motivada nos casos de "desídia", que nada mais é do que o empregado não trabalhar.
Por todas estas razões, é evidente que as empresas podem, e devem, estabelecer controles de monitoramento sobre seus funcionários e prepostos, haja vista que, em caso de violações ou prática de ilegalidades por seus empregados e colaboradores, sua responsabilização pela reparação dos danos é inevitável. O dever de vigiar, assim, pode ser considerado uma obrigação legal, enquanto a prática dos atos de monitoramento deve ser enquadrada como exercício regular de direito ou mesmo como ato próprio da execução do contrato de trabalho.
Tendo em vista os ditames da LGPD, é necessário que, ao implementar mecanismos ou procedimentos de controle que resultem em tratamento de dados pessoais, as empresas se atentem à necessária transparência em sua atuação, isto é, deve ser retirada a expectativa de privacidade dos empregados e colaboradores.
Para tanto, é conveniente que a empresa, antes de começar a monitorar os e-mails e o acesso à internet, por exemplo, implante um regimento de uso destes instrumentos de trabalho, prevendo e deixando de forma clara aos seus empregados quando e de que forma devem utilizar tais instrumentos, para que, assim, fique claro que os e-mails e o acesso serão monitorados.
Todavia, é sabido que o Direito do Trabalho preza pela primazia da realidade, princípio que garante a sobreposição da realidade fática quando em confronto com documentos, de modo que a mera existência de normas internas, Política de Segurança da Informação ou documentação neste sentido não é suficiente para garantir a legalidade do monitoramento.
Posto isso, as empresas devem construir uma cultura neste sentido, de modo que a preocupação com os mecanismos de controle interno seja notada pelos colaboradores como algo além de meras cláusulas contratuais, mas sim como uma prática costumeira. Para tanto, por exemplo, a empresa pode utilizar de campanhas de conscientização, palestras, placas e avisos localizados no ambiente de trabalho. Assim, na eventualidade de uma reclamação trabalhista, será possível demonstrar ao juízo que, além de meros documentos, a empresa tem a cultura de monitorar os colaboradores durante sua jornada de trabalho.
Assim, temos que as normativas de privacidade e proteção de dados pessoais não são óbice para o exercício de atividades de monitoramento na relação empregatícia, uma vez que a privacidade do empregado, quanto a relação de emprego, não é absoluta, devendo ser contraposta com as obrigações do empregador, o qual tem o direito e o dever de zelar pelo correto cumprimento das obrigações do empregado.
Publicação no LinkedIn: https://bit.ly/2DXs0yG