Até meados de 2018, encontrar dados pessoais perdidos em meio a materiais de trabalho não era incomum no cotidiano do publicitário Horácio Oliveira, de 26 anos. Responsável por desenhar campanhas de marketing e elaborar projetos de comunicação para médias e grandes empresas, ele não tinha diretrizes claras da agência onde trabalha — à época, ainda com sede física, em São Paulo — sobre o que fazer quando isso acontecia. “Havia um cuidado, mas era fácil ver trocas de bases de dados privados”, conta ele.
A gravidade era maior porque, na ocasião, Oliveira já trabalhava de forma remota, usando o próprio notebook. Em outras palavras, tinha acesso a informações importantes de vários clientes sem nenhuma interferência da empresa, que tinha sido contratada justamente para gerenciá-los. A dúvida óbvia era se o mesmo não acontecia com ele, e se a agência não era displicente da mesma forma com dados fornecidos pelo publicitário para elaborar o vínculo de trabalho, como documentos e fichas médicas.
Naquele ano, as punições previstas na legislação de proteção de dados da União Europeia (GDPR, na sigla em inglês) — documento aprovado pelo parlamento europeu em 2016 — começaram a ser aplicadas efetivamente sobre empresas e cidadãos nos países do bloco. Foi também quando a agência passou a se preocupar. “Nós tínhamos alguns clientes da Europa na carteira que, embora não fossem muitos, começaram a exigir parâmetros de segurança os quais nós não conhecíamos tão bem no Brasil”, relata. A GDPR, que inspirou o desenho da Lei Geral de Proteção a Dados (LGDP) brasileira, tem o escopo baseado no consentimento dos indivíduos no manejo das suas informações e, principalmente, no direito das pessoas de definir como esses dados serão utilizados em diversos âmbitos. O artigo 17 da legislação, um dos que ficaram mais famosos, versa sobre o “direito ao esquecimento”, por exemplo — isto é, de poder exigir que um conjunto específico de dados sobre si seja completamente apagado de todos os bancos existentes se assim o quiser. Há ainda uma série de regras estipuladas para a coleta, o tratamento, o uso e a manutenção de informações de terceiros por organizações públicas e pelas empresas, que deram forma à regulação no Brasil.
Foi assim que a agência de Horácio Oliveira começou a implementar, do dia para a noite, políticas de proteção de dados de colaboradores e clientes. A primeira delas já restringiu completamente a possibilidade de membros das equipes acessarem informações privadas. A LGDP germinava em paralelo como legislação e, então, quando entrou em vigor, em setembro de 2020, a empresa já estava parcialmente adaptada às novas regras. Ainda assim, algumas brechas permaneceram e seguem até hoje. “De um lado, hoje é muito mais controlado: não acessamos informações de terceiros de forma alguma como antes, e todas as plataformas têm senhas e autenticação em dois fatores. A possibilidade de mexer com dados de outros varia de cargo para cargo, mas é bem restrita.” “Por outro lado”, continua, “não existe um VPN [Virtual Private Network] próprio da empresa. Logo, o tráfego das nossas informações não é tão fechado. Além disso, eu ainda trabalho com o próprio computador, que serve tanto para produzir quanto para uso pessoal. Às vezes, essas coisas se cruzam”, completa Oliveira, que não tem contrato formalizado com a agência — o que, na visão dele, é uma vantagem, já que lhe permite viver como nômade digital.
Realidades como essa ainda são desafiadoras para muitas empresas que, mesmo com condições atuais de contratar mão de obra mais qualificada pelo mundo — já que não há a necessidade de tê-las presencialmente no escritório —, ainda não estão totalmente em conformidade com a legislação no que diz respeito à proteção e à segurança dos dados desses profissinais e, por consequência, dos próprios clientes. Segundo o advogado especializado em Direito Digital, Bruno Aghazarm, o exemplo dado do VPN por Oliveira é ilustrativo. A sigla diz respeito a redes fechadas de tráfego de informações na internet acessíveis apenas mediante autorização e protegidas por mecanismos comuns de segurança, como senha e autenticação em dois fatores (a exigência de uma confirmação da entrada no sistema por SMS é um exemplo). Qualquer empresa pode construir a própria VPN e fazer fluir por ali o conjunto de dados. “Ao fornecer o dispositivo para o colaborador, é preciso configurar os acessos e as restrições na máquina. O VPN já está ali. Não é permitido nem inserir um pen drive, por exemplo”, ressalta Aghazarm, que atua como consultor no escritório Henneberg, Ferreira e Linard, em São Paulo.
“Se o notebook for de uso pessoal do colaborador, então, é responsabilidade da empresa criptografar a rede privada (VPN) por onde passam as informações, principalmente as mais sensíveis, e ainda fornecer ferramentas de segurança para o dispositivo como um todo”, completa ele, lembrando que, para os empreendimentos, o que está em jogo mesmo é que os segredos corporativos não se transformem em matéria-prima para a concorrência.
Horácio Oliveira dá um exemplo dos riscos que essa realidade oferece. Hoje estacionado em Huddersfield, cidade perto de Manchester, na Inglaterra, ele passou alguns meses na Bulgária em 2022, onde um hacker tentou invadir o VPN da agência por meio do seu computador. No fim, o invasor não conseguiu acessar nenhuma informação confidencial ou pessoal, mas escancarou a vulnerabilidade da rede. “Serviu como um alerta de que, mesmo com tudo o que foi feito, o sistema ainda tem frestas”, confessa.
Rony Vainzof, sócio da VLK Advogados e consultor de Proteção de Dados da Federação do Comércio de Bens, Serviços e Turismo do Estado de São Paulo (FecomercioSP), acredita que tudo depende de um acordo bem estabelecido entre empresas e colaboradores — sobretudo remotamente, como é o caso de Oliveira. Vainzof usa a metáfora de um contêiner em um navio para explicar a visão do problema. “O dispositivo físico é do colaborador. É o contêiner. Hoje em dia, raramente as empresas fornecem o computador para eles. Os softwares que transmitem dados corporativos, porém, estão dentro da empresa. Muitas informações sensíveis de quem trabalha passam por ali. Essa confusão do que é pessoal e do que é profissional é delicada, mas precisa ser garantida”, analisa.
De acordo com o consultor, algumas medidas podem ajudar nesse sentido. A primeira delas é definir as regras de privacidade antes da contratação, seja na prestação de serviço, seja no trabalho em regime de CLT. Nele, o colaborador pode aceitar ter o dispositivo parcialmente criptografado — de forma a proteger eventuais vazamentos corporativos —, e a empresa, por sua vez, precisa se comprometer a não violar a intimidade do trabalhador com as ferramentas instaladas na máquina dele. Assim, garante-se a segurança dos dados corporativos e a possibilidade de controlar a jornada, ao mesmo tempo que se mantém a privacidade alheia.
Em julho do ano passado, uma norte-americana foi demitida depois que flagrada preparando um lanche durante o horário de serviço. Ela estava de home office e, na hora, não entendeu muito bem como a empresa teve acesso a um acontecimento doméstico como aquele. Foi quando descobriu que o chefe a espionava pela webcam do notebook, inclusive registrando e arquivando fotos e vídeos dela durante o expediente. Nos Estados Unidos, a prática tem sido chamada de bossware, uma referência à palavra boss (que, na língua inglesa, significa “chefe”) e aos softwares que permitem esse tipo de monitoramento. “Essas coisas entram na esfera da violação de intimidade”, determina Vainzof, da FecomercioSP. “Caso fosse em uma reunião de trabalho, tudo bem, mas quando é feito ostensivamente para controlar jornada e produtividade, é preciso que seja feito de outro modo, com transparência e consenso do colaborador.”
Práticas como essa, de fato, fazem parte da lista de infrações da lei europeia e da própria LGPD, no Brasil. O pêndulo, no entanto, dificilmente permanece em um movimento justo. “É permitido que a empresa tenha esse tipo de controle, não só pela produtividade, mas pela prevenção de dados mais confidenciais”, explica Vainzof. “Só que, ao mesmo tempo, o funcionário tem direito a preservar algumas das informações pessoais. Tudo isso precisa estar claro no contrato de trabalho”, continua.
No Brasil, diversos mecanismos judiciais têm sido acionados para lidar com situações como essa. No quinto artigo da Constituição Federal, por exemplo, há menção à intimidade da vida privada como um direito inviolável.
No ano passado, no processo de regulamentação do trabalho remoto, ficou definido que os funcionários em home office não precisam bater ponto, mas que as empresas podem monitorar o cumprimento da jornada com o uso de ferramentas digitais — desde que estas não se transformem em bosswares.
“É uma fronteira perigosa, porque ambos precisam se proteger um do outro”, ressalta Aghazarm. Para além do contrato, o advogado insiste nos dispositivos de segurança existentes, como a criptografia e os firewalls, que protegem arquivos mais sensíveis das empresas não apenas de vazamentos planejados, mas também de acontecimentos inesperados, como o roubo ou a perda do notebook por parte do funcionário. A questão é que muitos deles são pagos – e as companhias raramente topam assumir esses custos. “Para quem é prestador de serviço, a solução é trabalhar sob risco ou tomar esse gasto para si, mas, na lei, é a empresa que deve fornecer esse tipo de ferramenta para seus colaboradores”, complementa.
No contrato de Oliveira, as coisas não estão tão claras. O publicitário assinou uma carta de compromisso de não vazar as informações da agência, mas não recebeu nenhum documento de contrapartida — ou seja, algo que ateste que a empresa também cuidará das informações pessoais do contratado. Além disso, nunca houve nenhum movimento de fornecer os dispositivos de proteção aos colaboradores. “O que tem sempre é uma espécie de backup que adiciona os portfólios em uma nuvem. Além disso, todas as ferramentas de trabalho precisam ser autenticadas em dois fatores. Mas é isso. O medo é mais de que os materiais importantes não se percam do que propriamente a segurança de quem os está manuseando.” E o que acontece quando uma informação importante escapa? Vainzof já viu quase tudo: desde responsabilizações na esfera administrativa ou mesmo civil até encaminhamentos penais. “Dependendo do que acontecer, a sanção pode ir de multa pesada a denúncia por violação de sigilo ou concorrência desleal”, aponta.
No começo deste ano, a Autoridade Nacional de Proteção de Dados (ANPD) deixou correr a notícia que as punições às empresas começariam para valer a partir daquele momento. Não foi à toa, já que a agência definiu a dosimetria utilizada para enquadrar organizações e cidadãos em março, após meses de debates em reuniões abertas (e fechadas) que contaram com colaborações da FecomercioSP. Na mesma época, porém, Arthur Sabbat, que dirige o Conselho Diretor da ANPD, afirmou que as punições considerariam as diferenças estruturais entre empresas. “Recebemos denúncias envolvendo pequenos negócios. Ao analisá-las, vimos que o dano à LGPD foi mínimo. Em vários casos, a resolução acontece direto com o cliente e no menor tempo possível. É uma manifestação de boa-fé”, salienta.
Apesar de elogiar a forma como o processo tem sido tocado até agora, Aghazarm também vê limites — como não poderia deixar de ser — na prática da LGPD no País. “A efetividade da ANPD ainda está nascendo. O órgão até aplicou algumas multas e fez fiscalizações, mas nada efetivo. Sem contar que a legislação, obviamente, não é perfeita”, observa, antes de emendar: “Nós não estamos estruturados tecnicamente para resolver todo o tipo de ilicitude”.
Enquanto viaja pelo mundo, Oliveira tenta proteger os seus dados (e os da empresa) como dá. “Tenho um bom antivírus no notebook e faço uma gestão particular do espaço do trabalho e do uso pessoal. Sem contar que dificilmente ando com o computador pela rua”, conta. “Ainda assim, sei que 100% de segurança não existe.”