LGPD e trabalho remoto: qual o papel da empresa e do funcionário?

Ainda na corrida pela adequação às regras da Lei nº 13.709/2018, conhecida como Lei Geral de Proteção de Dados (LGPD), em vigor desde setembro de 2020 e em virtude da pandemia do novo coronavírus, muitas empresas precisaram adaptar rapidamente boa parte ou até a totalidade do quadro de funcionários ao trabalho remoto. Diante deste novo cenário, além de instruir seus colaboradores sobre os termos e as consequências de infrações à LGPD, fez-se necessário adotar medidas especiais de orientação e treinamento para os profissionais em regime de teletrabalho, conforme o disposto no Capítulo II-A da Consolidação das Leis do Trabalho (CLT). O propósito deste artigo é esclarecer as dúvidas mais frequentes sobre quais obrigações recaem sobre a empresa e qual é o papel do empregado em home office, considerando o contexto da LGPD.

As responsabilidades da empresa e do empregado no trabalho remoto

É papel da empresa revisar seus documentos, tais como Códigos de Conduta, Políticas de Segurança da Informação, Políticas de Privacidade Externa e Interna e Aditivos contratuais para que contenham as obrigações a serem cumpridas pelo empregado para proteger os dados cuja responsabilidade fica a cargo do empregador, como Controlador de dados. Cabe a empresa também criar regras específicas para download e upload de arquivos, além de garantir mecanismos tecnológicos para que os dados transitem por uma conexão segura. Também é aconselhável criptografar dados confidenciais e implementar medidas para impedir que as informações sejam salvas no computador particular e bloquear práticas como uso de pendrives, print da tela ou envio de bancos de dados em planilha, por exemplo. Ter pessoas em trabalho remoto significa ter uma extensão da empresa em suas casas, ou seja, ainda que o profissional trabalhe em home office ou mesmo que atue em nome da organização e não tenha vínculo empregatício, a responsabilidade para com a proteção de dados continua sendo da empresa, inclusive existindo esta previsão expressa no Código Civil brasileiro, por meio do artigo 932, III. Toda a cautela é necessária, principalmente quando as empresas ocupam a posição de controladoras de dados, coletando e tratando informações ou dados pessoais pelas mais diferentes aplicabilidades, desde o cumprimento das obrigações legais até o planejamento de estratégias de vendas. As empresas podem ser responsabilizadas quando, no exercício de suas atividades, forem causados danos patrimoniais e/ou morais aos titulares dos dados. Com o objetivo de prevenir o vazamento de dados, é recomendável adotar mecanismos de monitoramento do trabalho, ainda que esse assunto deva ser abordado com cuidado, observando as regras da necessidade, proporcionalidade, informação e transparência. É recomendável realizar treinamentos sobre boas práticas de proteção de dados e segurança da informação, seguido de reciclagem a cada seis meses. Além disso, sugere-se arquivar uma cópia assinada de termo de responsabilidade ou documento semelhante com todas as instruções a respeito da LGPD. No caso dos empregados em regime CLT, é primordial providenciar a revisão dos contratos de trabalho expressando suas obrigações em zelar pelo fluxo e tratamento dos dados, evitando o vazamento de informações. Assim sendo, é papel do empregado zelar por essas obrigações, protegendo dados e informações a que tenha acesso no exercício de suas atividades. As sanções previstas nos contratos de trabalho atualizados devem ser amplamente divulgadas, visto que as infrações às políticas internas podem ser punidas com advertência, suspensão e até rescisão contratual por justa causa.  

Quando o funcionário pode ser responsabilizado?

Caso ocorra qualquer incidente de vazamento de dados consequente da má conduta do empregado, devido ao descumprimento das orientações do empregador, a responsabilidade poderá recair sobre o ele, que deve indenizar os prejuízos sofridos pela empresa e pelos titulares dos dados, na forma da lei.  

Dicas para adequar o trabalho remoto à LGPD

Como mencionamos, o ambiente doméstico é significativamente mais vulnerável para a ocorrência incidentes envolvendo dados pessoais e informações estratégicas da empresa, principalmente se comparado com as dependências da empresa, onde existe uma infraestrutura de rede segura, que bloqueia sites e domínios considerados como ameaças para os sistemas e rede da instituição. Para implementar medidas de prevenção realmente efetivas é essencial mapear o fluxo dos dados da empresa, identificando as ameaças relacionadas à LGPD e ao trabalho remoto, em todas as fases operacionais. Essas medidas devem estar inseridas na cultura da organização. Adotar um termo de confidencialidade e proteção de dados, política de BYOD (bring you own device) e/ou um manual de condutas específico para o home office são algumas das práticas para evidenciar compromissos que os empregados em home office devem assumir, tais como observar integralmente todas as determinações da LGPD; ser vigilante com a guarda de informações de login e senha; comunicar imediatamente qualquer perda, extravio, alteração não autorizada ou divulgação equivocada de login e senha; fazer bom uso e boa guarda de todo material, físico ou digital, disponibilizado pelo empregador para o exercício da sua função, e não permitir que terceiros acessem os dados do empregador. Uma política de segurança da informação e treinamentos esporádicos reforçam a importância de algumas ações simples que ajudam a proteger os dados da empresa no exercício do home office pelo empregado:

• Criar um protocolo com regras para armazenamento de informações;
• Fornecer aos empregados apenas ferramentas aprovadas e confiáveis;
• Instruir a configuração de senhas fortes, evitando combinações óbvias solicitar a alteração regularmente;
• Instalar antivírus e ferramentas de segurança como firewalls, software de filtragem e criptografia;
• Usar uma rede virtual privada VPN para estabelecer um caminho seguro do computador que está na casa do empregado até o servidor da empresa;
• Atualizar sistemas e softwares, visto que cada versão corrige falhas da anterior;
• Estabelecer uma rotina para eliminar eventuais dados salvos no dispositivo particular;
• Evitar dispositivos externos como pendrive, HD externo e até cabos de celular para evitar a possibilidade de o empregado corromper dados, ainda que acidentalmente;
• Ativar a opção de biometria do celular usado para o trabalho;
• Instruir a não utilização de root no celular, pois essa alteração afeta recursos de segurança e compromete os dados salvos no aparelho; e
• Instruir o armazenamento em nuvem dos dados utilizados por meio de aparelho celular corporativo do empregado.

A documentação física também pode ser vulnerável e a perda de registros em papel como faturas, currículos, relatórios de avaliação e arquivos, pode ser uma violação de privacidade de dados. Avalie os riscos de extravio e considere em quais casos estes documentos podem ser levados para casa, quais funcionários estão aptos para transportar esses dados pessoais e se existem cópias dos papéis retirados do escritório. Embora as penalidades previstas por violação à LGPD sejam aplicadas pela Autoridade Nacional de Proteção de Dados (ANPD) somente a partir de agosto de 2021, não é recomendável postergar sua adequação ao trabalho remoto, evitando prejuízos de ordem financeira e reputacional, prezando pela credibilidade da empresa. É fundamental realizar esforços efetivos para cumprir integralmente a Lei, mas também reunir provas e evidências de todas as medidas adotadas, desde a atualização dos documentos internos, a orientação e o treinamento dos funcionários para tratarem dos dados e informações de forma correta.