A extração de dados tem se tornado um grande commodity da economia, em razão do tamanho de sua importância econômica, contudo, é proporcionalmente tamanha a possibilidade danosa da publicação indevida desses mesmos dados.
Sabendo do valor dos dados e da importância em trata-los de forma segura, a Lei Geral da Proteção de Dados (LGPD – Lei 13.709/18) prevê um capítulo inteiro para tratar da Segurança de Boas Práticas, bem como uma seção para dispor somente acerca da segurança e sigilo dos dados.
É no tópico preambular desta seção que a Lei obriga aos agentes que manipularão as informações deverão adotar medidas de segurança aptas a proteger os dados pessoais, contra acessos não autorizados e de situações acidentais ou ilícitas.
Art. 46. Os agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
Nesse sentido a política de segurança da informação (PSI) surge com o objetivo de garantir a proteção das informações corporativas contra eventuais ameaças que possam prejudicar sua operação.
A norma ISO 27001 é o padrão e a referência Internacional para a gestão da Segurança da informação, e nela há o conceito de Segurança da informação dispondo que se trata da conduta de proteger os dados da empresa, contra os tipos de ameaças e riscos existentes, tanto por atos provenientes de humanos (espionagens, sabotagens, incidentes com vírus ou códigos maliciosos), bem como aqueles casos considerados fortuitos ou força maior (acidentes, incêndios e inundação).
Assim, como forma de proteger contra esses tipos de ameaças a empresa pode adotar a Política de Segurança da Informação, que nada mais é do que um conjunto de padrões, normas e diretrizes criadas em cima de três princípios de segurança de dados, “confidencialidade, integridade e disponibilidade”, devendo ser seguida por todos os colaboradores que utilizam infraestrutura de tecnologia e informação da empresa.
Os conceitos desses três princípios também estão previstos na norma ISSO 27001, são eles:
Confidencialidade
Propriedade de que a informação não esteja disponível ou revelada a indivíduos, entidades ou processos não autorizados
Disponibilidade
Propriedade de estar acessível e utilizável sob demanda por uma entidade autorizada
Integridade
Propriedade de salvaguarda da exatidão e completeza de ativos
A confidencialidade é um importante princípio a ser observado pela empresa, no que concerne à matéria de segurança de dados, devendo abordar este assunto em regulamento específico e em seguida fornecer o treinamento adequado aos seus empregados, uma vez que constatada eventual infringência por estes às normas que tratam do sigilo e confidencialidade, deverão ser responsabilizados.
Afinal, a LGPD não deixa dúvidas quanto a responsabilidade do controlador e do operador de dados, quanto a eventual violação à proteção dos dados pessoais, inclusive, gerando o dever de reparar por eventuais danos.
Art. 42. O controlador ou o operador que, em razão do exercício de atividade de tratamento de dados pessoais, causar a outrem dano patrimonial, moral, individual ou coletivo, em violação à legislação de proteção de dados pessoais, é obrigado a repará-lo.
(…)
Como a empresa se enquadra no conceito de controladora dos dados que recebe para tratamento, em decorrência da atividade operacional que realiza, é responsável por eventuais danos originados por violações que ocorrerem dentro do seu ciclo operacional, notadamente por aqueles causados por seus empregados.
Como forma de minimizar esse risco, a empresa pode penalizar aquele que infringe a política de segurança da informação, inclusive, com a rescisão contratual por justa causa, uma vez que os dados confidenciais e sigilosos se equiparam a segredo da empresa previsto na alínea “g” do art. 482 da CLT.
Art. 482 – Constituem justa causa para rescisão do contrato de trabalho pelo empregador:
(…)
Segundo Amauri Mascaro do Nascimento, citado por Maurício Godinho Delgado, a violação de segredo:
“(…) é a divulgação não autorizada das patentes de invenção, métodos de execução, fórmulas, escrita comercial e, enfim, de todo fato, ato ou coisa que, de uso ou conhecimento exclusivo da empresa, não possa ou não deva ser tornado público, sob pena de causar prejuízo remoto, provável ou imediato à empresa.” (Curso de Direito do Trabalho. São Paulo: LTr, 7º Edição, 2008, pág. 1198).
O empregado em razão do desempenho de suas atividades, muitas vezes, toma conhecimento de segredos da empresa, e em cumprimento ao dever de fidelidade, não deve revelá-los a terceiros em qualquer hipótese.
JUSTA CAUSA. Ficando demonstrado nos autos que o empregado cometeu ato faltoso elencado no art. 482 da CLT, deve ser mantida a sentença que reconheceu que a rescisão contratual ocorreu por justa causa.
(…)
“A gravidade do ato é inquestionável. Além de violação do termo de confidencialidade e sigilo por ela assinado, o ocorrido pode trazer consequências de extrema gravidade ao hospital, inclusive pela quebra de um dos princípios éticos mais rígidos da medicina: o sigilo médico, cujo objetivo é proteger a intimidade dos pacientes. (Lei nº 13.787/2018 e Lei 13.709/2018)”. (TRT 12. RT 0000463-60.2020.5.12.0040. Relator Maria De Lourdes Leiria. Publicado em 16/07/2021).
Interessante observamos que além da hipótese de revelação dessas informações a terceiros, o fato do empregado extraviar essas informações para fora do ambiente da empresa, ainda que somente com o objetivo de guardar para sí, porém, agindo assim de forma contraria ao previsto na política de segurança da informação adotada pela empresa, pode ser considerada falta grave apta a justificar a rescisão contratual por justa causa, conforme recente decisão proferida pelo Tribunal Regional da 2ª Região
“Logo, trata-se de dados pessoais de pessoas naturais e que, de forma alguma, podem ser extraviados para meios que escapam do controle da empresa, sob pena, inclusive, de eventual responsabilização da empresa pelas pessoas físicas e jurídicas afetadas”. (TRT 02. RT 1000612-09.2020.5.02.0043. Relator Daniel De Paula Guimarães. Publicado em 22/10/2021).
Resta claro que é importante conscientizar todos os funcionários a respeito das medidas de segurança, notadamente, relativo aos riscos de acesso e compartilhamento indevido de dados pessoais, sendo a Política de Segurança da Informação uma ferramenta imprescindível para as empresas utilizarem, sobretudo hoje a nova “Era Digital” em que vivemos.
Artigo elaborado pelo advogado Vitor Franzoi Plotegher, inscrito na OAB/SC n.º 43.499, graduado em Direito pela Universidade Regional de Blumenau – FURB, pós-graduando em Direito Empresarial e Tributário pelo INPG Business School e Direito do Trabalho e Previdenciário pela UNIFEBE. Atua na área de Direito do Trabalho na Mattos, Mayer, Dalcanale & Advogados Associados.