Marcelo Chiavassa (*)
É realmente um ponto que as empresas precisam melhorar, elas precisam estabelecer políticas de segurança da informação.
Um estudo divulgado recentemente pelo Índice de Gerenciamento de Acesso de 2021 da Thales, apontou que 90% das empresas brasileiras estão preocupadas com riscos e ameaças à segurança devido ao trabalho remoto de seus funcionários. Me parece que essas empresas estão bastante alinhadas com o que está acontecendo no mundo.
De fato, hoje um dos principais problemas quando a gente pensa em vazamento de dados, segurança das informações, são os ataques cibernéticos. Existe uma tendência de crescimento disso, o Brasil, principalmente nos últimos dois anos, teve um aumento exponencial e praticamente toda semana a gente se depara com um novo incidente de vazamento de dados, seja por descuido da empresa, ou seja por ataques cibernéticos.
As empresas precisam capacitar os seus funcionários sobre isso porque boa parte desses ataques só é possível a partir da falha humana do funcionário que clica num link malicioso e a partir disso, todo aquele conteúdo, o banco de dados da empresa acaba sendo criptografado e a empresa perde acesso a ele. Depois tem toda a discussão de pagar ou não o resgate para conseguir recuperar esses dados, então a capacitação e treinamento dos funcionários é um ponto muito importante.
Boa parte das empresas acabam ignorando isso na prática, acham que ter um bom documento de política de segurança da informação é suficiente, quando é necessário investir mais em treinamento. Em relação ao tema de multifatores também tem outro ponto extremamente importante, a capacitação dos funcionários para que eles entendam o porquê de se utilizar sistema de multifatorção.
Isso vale não só para as empresas, mas para qualquer pessoa física que queira ter um pouco mais de segurança sobre os sistemas que utiliza propriamente. A questão da segurança da informação, no período de pandemia e do home office, é a mesma questão de falta de treinamento, eles precisam capacitar seus funcionários para que possam entender a importância de proteger dados mesmo remotamente ou importância de tomar cuidados com o sistema.
Muitas empresas têm dados confidenciais que não podem ultrapassar a figura do empregado, isso significa que, por exemplo, um filho ou um amigo que estejam na casa não possam ter acesso a essas informações. Sobre os riscos jurídicos para os trabalhadores, para aqueles que vazarem dados de propósito, eles vão incidir na responsabilidade penal, que pode ser penal de vazamento de segredo e no ponto de vista civil, vão agir de má fé.
Isso não exclui a responsabilidade da empresa, ela vai acabar respondendo perante os lesados, mas a empresa terá uma possibilidade de ação de regresso contra o funcionário que fez isso. Na esfera penal, aí sim o funcionário será responsabilizado sozinho, mas na esfera civil a responsabilidade cairá sobre a empresa que por sua vez terá uma ação de regressão com o funcionário. Se o funcionário fizer isso por engano, ainda assim pode vir a ser responsabilizado quando comprovado negligência e imprudência em perícia, que são um dos elementos que caracteriza culpa.
Na esfera penal, pode vir a acontecer se preencher os requisitos penais. As empresas que não tomarem cuidado com segurança da informação podem ter vários problemas, principalmente agora com a LGPD, que estabelece o dever de as empresas zelarem pelos dados pessoais que coletam, e nem toda informação que uma empresa tem é dado pessoal.
Por exemplo, uma planilha financeira se não tiver um nome, um CPF, nada que identifique alguém, não é dado pessoal, mas são dados importantes para a própria organização. então, um incidente de segurança da informação, pode fazer com que segredos comerciais sejam revelados, ou então, que resulte em um vazamento de dados pessoais e aí você tem as sanções e punições previstas na lei geral de proteção de dados. Se a empresa não tiver política de segurança da informação é preciso conversar e falar sobre os riscos que a empresa está correndo.
O funcionário não tem muito o que fazer para que ele não possa ser responsabilizado. Se a empresa tiver política de segurança, siga à risca. Se ela não tiver, vale a pena conversar com o gestor da área para que se pense na segurança, ou senão, convém ao empregado ser o mais conservador possível, não transferindo dados para um drive usb, não entrar no e-mail pessoal, ao menos que você tenha necessidade em razão do trabalho.
Quando se trata de segurança digital e trabalho remoto o melhor conselho é ser o mais cauteloso e responsável possível, assim você se blinda e para fazer seu trabalho de forma segura para a emprensa e principalmente para você.
(*) – É professor de Direito Digital da Universidade Presbiteriana Mackenzie Campinas.