Home office exige protocolos corporativos contra o vazamento de dados

Na visão de Guilherme Guimarães, advogado e sócio fundador do Advogados Associados, com a pandemia causada pelo coronavírus, questões de Cybersecurity estão em alta, exigindo das empresas uma ação conjunta entre proteção de dados e adequações às regras como a LGPD


Compartilhar:

Com a “conotação moderna” do termo home office e uma “pegada cool” em prol da saúde dos trabalhadores, o teletrabalho ganhou força com a pandemia de coronavírus e tudo indica que será uma das fortes tendências no mundo do trabalho para o futuro. O formato de trabalho remoto, que já era bastante utilizado em algumas áreas corporativas, deve ser um dos legados positivos da epidemia, como inúmeros estudos já apontam. Para empregadores e colaboradores, as vantagens serão muitas, desde que as empresas fiquem atentas ao que está já estabelecido em lei.

 

Sim, porque existe uma legislação ampla e abrangente que regulamenta o teletrabalho no Brasil e que ganhou um reforço com a publicação da Medida Provisória 927, do Governo Federal.

 

Para as empresas em que o modelo de trabalho remoto é uma novidade, a MP trouxe algumas medidas como alternativa para empresários e trabalhadores adotarem durante o período de distanciamento social.

 

O teletrabalho já está regulamentado na Consolidação da Leis do Trabalho (CLT). O artigo 75-B da norma considera teletrabalho a prestação de serviços preponderantemente fora das dependências do empregador, com a utilização de tecnologias de informação e de comunicação. Ou seja, não há diferença entre o trabalho realizado no estabelecimento do empregador, o executado no domicílio do colaborador e o realizado à distância.

 

E a Segurança?

 

Mas algumas questões vão muito além do caráter empregatício: envolvem principalmente a proteção de informações estratégicas e de dados de clientes, parceiros e colaboradores, principal ativo hoje de uma organização.

 

É importante que a empresa implemente regras, processos, procedimentos, software e hardware para garantir a proteção de suas informações e dos dados pessoais, bem como a rastreabilidade dos registros de acesso realizados pelos empregados em regime de teletrabalho. Para isso, a empresa deverá adotar uma Política de Segurança da Informação.

 

É vital que a empresa mantenha os registros de acesso aos seus sistemas contendo o momento, a duração, a identidade do trabalhador remoto e o arquivo acessado para permitir a rastreabilidade do seu colaborador.

 

Não é difícil imaginar a enorme quantidade de acessos às redes, servidores, arquivos realizados pelos empregados em regime de teletrabalho. Os cibercriminosos estão atentos a isso e estão aproveitando o momento para acessar sistemas despreparados para essa modalidade de operação.

 

Ou seja, é justamente nesse momento que os criminosos do mundo virtual podem estar no meio da conexão entre a empresa e o trabalhador remoto atuando para capturar os pacotes de dados contendo informações estratégicas ou dados pessoais. Além disso, existe ainda o risco de que empregados que não foram devidamente capacitados realizem operações que coloquem a empresa em risco. Isso pode ocorrer, por exemplo, quando o trabalhador clicar em um arquivo executável anexado em um e-mail phishing, permitindo ao criminoso criptografar o servidor da empresa.

 

Os danos gerados a uma instituição corporativas em um ciberataque vão muito além da captura de informações estratégicas. A ação pode prejudicar a imagem da empresa e inclusive a continuidade do negócio.

 

Tratamento de dados

 

Para deixar a situação um pouco mais emocionante, a nova Lei Geral de Proteção de Dados Pessoais (LGPD) vai obrigar as empresas a implementarem um rigoroso controle sobre os dados pessoais sob a responsabilidade das empresas.

 

Tratamento de dados não se restringe apenas ao ato de coleta das informações. A LGPD apresenta vários exemplos de operações realizadas com dados pessoais, tais como as que se referem à produção, recepção, classificação, utilização, acesso, reprodução, transmissão, distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração. Basta realizar uma dessas hipóteses com dados pessoais que a empresa deverá observar o que disciplina a LGPD.

 

Em linhas gerais, a lei disciplina toda a operação de dados pessoais realizada por pessoa natural ou pessoa jurídica de direito público ou privado, independente do meio; isto é, não importa se os dados pessoais estiverem no papel ou no meio eletrônico a empresa deverá observar a LGPD.

 

De forma legal, não importa se o acesso aos dados de clientes, parceiros, colaboradores e fornecedores ocorre dentro do ambiente físico de uma corporação. Basta que ele ocorra no ambiente digital da empresa.

 

Pela LGPD, a empresa deverá utilizar medidas técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou difusão, bem como medidas para prevenir a ocorrência de danos em virtude do tratamento de dados pessoais.

 

Por isso a importância de regras para o uso do teletrabalho: proteger as informações da empresa e os dados pessoais durante e após o uso do teletrabalho.

 

Apesar de a lei ainda não está em vigor, a empresa deve trabalhar a mudança de cultura dentro de sua estrutura para que quando ocorrer a virada de chave, tudo aconteça de maneira mais suave e sem atropelos.

 

Investir em educação é a palavra chave para o sucesso da implementação da LGPD.

 

*Guilherme Guimarães é advogado e sócio fundador do Advogados Associados e da Datalege Consultoria Empresarial

 

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

TRE da Bahia protege sistemas com jornada Zero Trust

O Tribunal Regional Eleitoral adotou o modelo Zero Trust em parceria com a Cisco, implementando estratégias de MFA com...
Security Report | Destaques

ATUALIZADO: Linha do tempo destaca ataques mais recentes

Painel de incidentes foi atualizado com os casos envolvendo a TV Justiça, a Sociedade Esportiva Palmeiras, o Porto de Santos,...
Security Report | Destaques

Regulação da IA: Brasil deve seguir projeto próprio de governança?

Debate voltou aos holofotes com o questionamento se os países devem investir especificamente em regulações que levem em consideração a...
Security Report | Destaques

Ataque cibernético impacta serviços da Unimed 

Em nota, a cooperativa do Vale do Taquari e Rio Pardo afirmou que investiga o incidente cibernético ocorrido nesta terça-feira...