Incidentes de Segurança da Informação sob a ótica do Direito do trabalho, responsabilidade objetiva do empregador e direitos personalíssimos dos empregados
Por Pablo Correia*
Diariamente tomamos ciência sobre incidentes de Segurança da Informação decorrentes de phishing recebidos e executados por colaboradores, oriundos de e-mails. Antes de discorrermos sobre acontecimentos como esse faz-se necessário entendermos, de forma sucinta, o que é e como ocorre o phishing.
Phishing é uma técnica de fraude online, utilizada por criminosos com o intuito de roubar senhas de banco e demais informações pessoais, usando-as de maneira fraudulenta.
Ainda, tentativas de phishing podem acontecer através de websites ou e-mails falsos.
Normalmente, os conteúdos dos sites ou e-mails com phishing prometem promoções extravagantes para o internauta ou solicitam para façam uma atualização dos seus dados bancários, evitando o cancelamento da conta, por exemplo.
Diante da breve explanação acima e sob a ótica do direto do trabalho, como ficaria a responsabilidade do colaborador, de ter clicado em um link fraudulento causando Vazamento de Informação? Ainda, o que a empresa deveria fazer?
Segunda a Desembargadora Leila Chevtchuk é imprescindível que as empresas elaborem políticas claras quanto ao uso ético e legal de ferramentas e dispositivos tecnológicos no ambiente corporativo, bem como inclua cláusulas específicas nos contratos de trabalho acerca da confidencialidade e sigilo diante da função exercida pelo colaborador.
Para o empregador é conferido o chamado poder empregatício, no qual é lastreado pelos poderes diretivo, regulamentar, disciplinar e fiscalizador. Esses devem ser exercidos de forma ponderada harmonizando-se, assim, a livre iniciativa do empregador e os direitos personalíssimos dos empregados.
No caso de utilização indevida do e-mail corporativo, a jurisprudência está consolidada no sentido de que é direito da empresa zelar por seu patrimônio monitorando esta utilização (o e-mail, computador e a internet são ferramentas de trabalho, TRT-2 RO 01848-2006-472-02- 00-5, Relatora Desembargadora Mércia Tomazinho). Porém, se o e-mail acessado for de cunho pessoal do trabalhador, a jurisprudência entende de forma distinta: o e-mail pessoal ou particular do empregado desfruta da proteção constitucional e legal da inviolabilidade (TST-AIRR – 426540-10.2007.5.12.0036, Relator Ministro João Batista Brito Pereira).
Ainda, existe necessidade de programas de treinamentos e conscientização, disponibilizado pela empresa abordando fortemente o Compliance, a Segurança da Informação e Proteção de dados, todos promovidos e apoiados pelos departamentos de Compliance, Jurídico, Recursos Humanos e Segurança da Informação.
Em relação a responsabilidade do colaborador, segundo a Doutora Patrícia Peck, ”A empresa, se acionada, vai responder por culpa em vigilando ou uma série de outras situações por conta do mau uso da ferramenta de trabalho, contudo a mesma terá o direito de regresso contra o funcionário”, explicou-a.
“A empresa responde civicamente e dependendo do caso ela pode até sofrer uma imputação penal por alguma pessoa da empresa no caso de uso ilegal, fraudulento ou que prejudique a terceiros”, disse. Um e-mail corporativo (com o nome da empresa), além de uma ferramenta de comunicação, guarda conteúdos necessários à empresa. “É uma documentação de relações e obrigações que a empresa assume no mercado”, afirma Patrícia. Além disso, o uso da internet no trabalho também abre as portas da empresa para vírus, comprometendo a segurança da informação.
Qualquer e-mail que o funcionário acesse pela estação de trabalho da empresa poderá conter vírus que ameaçam a rede e suas informações. Como forma de mitigação desse e de outros riscos é recomendável a utilização de ferramentas de proteção tais como DLP, WAF, firewall, além do implemento de antivírus e monitoração das atividades para com seus colaboradores e ativos tecnológicos.
Ainda segundo Patrícia Peck, “O que você faz durante o expediente e para fins de trabalho envolve responsabilidade do empregador. Mas ele tem que definir claramente, de modo objetivo e por escrito, mesmo que eletronicamente. Não precisa estar impresso, mas tem que ser formalizado. Isso tem a ver com o novo Código Civil, do Código Penal e da Constituição Federal”.
Ainda, caso o colaborador descumpra de forma imprudente os regulamentos internos da empresa, após ciência e treinamentos, a empresa terá o direito de regresso contra o mesmo.
Por fim, conclui-se que a responsabilidade objetiva sob a ótica do direto do trabalho é da empresa. A mesma deve estar blindada através de Educação Digital, Compliance Digital, Segurança da Informação, Treinamentos, Conscientização, Políticas, Processos e Procedimentos de forma a permitir que seu colaborador compreenda.
*Pablo de Camargo Correia, Especialista de Segurança da Informação – Logicalis Brasil