A pandemia causada pelo novo Coronavírus fez com que muitas empresas adotassem o modelo de trabalho remoto por conta da recomendação do isolamento social. Mas a prática, cada vez mais frequente no mercado de trabalho brasileiro, ainda requer uma adaptação em diferentes frentes e uma delas é a segurança dos dados.

O home office levanta questões sobre a segurança dos dados pessoais dos usuários, e dos registros sigilosos das empresas, em razão do aumento do fluxo de informações em servidores fora das instalações empresariais.
Essa preocupação ganhou um capítulo extra por conta das discussões acerca do adiamento da entrada em vigor da Lei Geral de Proteção de Dados Pessoais (LGPD), ainda pendente de votação pelo Congresso Nacional. A lei tem justamente como objetivo regulamentar o tratamento dos dados e informações pessoais de usuários e clientes de empresas públicas e privadas.

Contexto sobre a LGPD

Sancionada em agosto de 2018, a lei está prevista para entrar em vigor em agosto deste ano. Porém, as mudanças causadas pela pandemia levaram ao adiamento da aplicação das sanções administrativas decorrentes da inobservância da LGPD – em outras palavras, até agosto de 2021 não serão aplicadas penalidades aqueles que descumprirem as determinações previstas na lei.

Um dos motivos para as discussões acerca do adiamento da implementação da nova Lei Geral de Proteção de Dados Pessoais foi a alegação de falta de recursos para as mudanças. Muitas empresas viram a necessidade de deslocar montantes para outras áreas de atuação. Nestes casos, as pequenas e médias empresas sofreram de forma mais clara.

Gustavo Quedevez, sócio do BVA Advogados e advogado especializado em Direito Digital e Novas Tecnologias, alerta que, mesmo em uma empresa que não esteja tão exposta à fiscalização, a necessidade de proteger de forma mais eficiente os dados dos clientes pode ser útil por exigência de outras companhias como, por exemplo, os fornecedores. “A responsabilidade pela proteção e privacidade dos dados pessoais é imposta à toda a cadeia de prestação de serviços”, alerta.

Ele lembra que, apesar da discussão acerca do adiamento, esta não é uma questão que deve ser deixada de lado pelas companhias. Eventual prazo extra significa uma oportunidade para repensar a adequação e não uma possibilidade para não se falar mais sobre isso. “Não haverá diferenciação entre empresas grandes, médias ou pequenas, a privacidade será exigida de todas indistintamente”, diz o advogado.

E ele alerta: “É preciso entender que o cumprimento total da LGPD não será obtido com a formalização de uma política de privacidade ou através de comunicados em mídias sociais ou no website”, diz. Ou seja, é preciso atender todos os critérios de forma séria.
Por isso, ele recomenda que as empresas aproveitem eventual tempo extra para criar uma política de BYOD (Bring Your Own Device), que reconhece a utilização de aparelhos particulares nas rotinas da companhia (smartphones, por exemplo) e, ao mesmo tempo, define regras e critérios para a sua utilização. “É um passo inicial, que certamente não vai mitigar todos os riscos, mas é um começo”, afirma.

Para ajudar neste momento de adaptação, Leonardo Carvalho, sócio das áreas trabalhista e previdenciária do BVA Advogados, explica que, como medida preventiva antes da aplicação da LGPD, a empresa deve criar uma política de orientação dos empregados que fazem uso de notebooks/computadores pessoais, para que criem em seus dispositivos um usuário específico para o uso corporativo, explicando passo a passo de como deve ser feito.

“Assim, com usuários distintos, sendo um para o uso pessoal e outro para o uso corporativo, dentro do mesmo equipamento, fica criado um bloqueio para que terceiros não possam visualizar conteúdo pessoal, mediante acesso remoto”, diz.
Apesar da proximidade com o prazo inicial de vigência, a realidade é que grande parte das empresas não possuem mecanismos adequados para proteger informações tratadas por suas equipes que atuam remotamente. Muitos colaboradores não têm as proteções necessárias, como antivírus e firewall, deixando os sistemas desprotegidos para invasões ou ocorrência de fraudes, tornando possíveis os vazamentos dos dados.

Para se ter uma ideia, por consequência do uso do phishing (links maliciosos para roubo de dados), em março de 2020 houve um aumento de 131% na incidência de vírus ,em comparação ao mesmo período de 2019, segundo a Fortinet, empresa de segurança cibernética.

A reputação do controle de dados

Para Gustavo, os clientes estarão cada vez mais atentos e darão preferência para empresas que cuidem bem dos seus dados. E segundo ele, o consumidor já está exigindo que seus dados sejam tratados dentro de critérios razoáveis, cobrando das empresas responsabilidade sobre as informações que cede. Ou seja, isso se torna um fator de competitividade.

E essa é uma tendência de toda sociedade. “O próprio Supremo Tribunal Federal (STF), em decisão recente relativa à validade de Medida Provisória que permitia o compartilhamento de dados telefônicos em decorrência da Pandemia do COVID-19, reconheceu a existência do direito fundamental do cidadão à tutela dos seus dados, ou seja, ainda que a pandemia gere repercussões nunca sentidas pela sociedade deve prevalecer o interesse do cidadão a respeito da tutela de seus dados pessoais”, analisa.
Entenda melhor a nova Lei Geral de Proteção de Dados Pessoais (LGPD)
O maior objetivo da Lei Geral de Proteção de Dados Pessoais é regulamentar o tratamento de dados pessoais. Empresas e grupos comerciais que não cumprirem as novas normas estarão sujeitas a multas que podem chegar a R$ 50 milhões.

A regulamentação exige um maior cuidado com informações básicas, como nome e e-mail e até com cadastros completos, os chamados “dados sensíveis” – informações sobre origem racial ou étnica, convicções religiosas, opiniões políticas, filiação a sindicato ou a organização de caráter religioso, filosófico ou político, informação referente à saúde ou vida sexual e dado genético ou biométrico. Registros como esses passam a ter um nível maior de proteção, para evitar formas de discriminação e garantir os direitos fundamentais de liberdade e de privacidade das pessoas. As empresas deverão investir na estrutura de compliance digital e capacitar seus colaboradores para seguirem as novas determinações.

Com a nova lei, as empresas devem obrigatoriamente informar o usuário qual a finalidade da coleta de dados. Com o consentimento, as companhias estão autorizadas para utilizar os dados, sempre dentro da lei. Já o cliente ganhou novos direitos, como solicitar os dados que a empresa tem sobre ele, a quem foram repassados (em situações como a de reutilização por “legítimo interesse”) e para qual finalidade.
Outros países pelo mundo passaram a criar novas leis que protegem dados pessoais depois que alguns escândalos de vazamento e compartilhamentos de dados ganharam o noticiário. O mais emblemático foi o vazamento de dados coletados pelo Facebook, uma das maiores redes sociais do mundo, que expôs dados de 267 milhões de usuários.