quinta-feira, 21 de julho de 2011

Sua empresa está segura? (Monitoramento x Política de Segurança)

Queridos amigos,


É sabido que o tema segurança abrange não só o direito digital, mas a sociedade como um todo. Pois foi a partir da necessidade de segurança das expectativas dos cidadãos que houve a criação do Direito, em suma, como “controlador de condutas”.
Nas empresas, as ferramentas disponibilizadas para o desenvolvimento do trabalho do empregado devem ser utilizadas da melhor forma. Entretanto, essa “melhor forma” deve ser definida pela própria empresa através de Políticas de Segurança, no sentido de evitar riscos que tragam responsabilidade civil, penal e trabalhista - podendo chegar a demissão. (PECK:2009.p.118)
Como afirma Patrícia Peck, hoje o monitoramento é algo “muito além da responsabilidade do empregador sobre o empregado” (responsabilidade objetiva), trata-se de um fator de proteção de mais um item essencial para as empresas: a informação. (PECK:2009. p.137).
Ou seja, diante do crescimento quanto à facilidade de acesso a redes de internet o funcionário esquece que dentro do local de trabalho existem regras, bens e princípios que devem ser respeitados por serem exclusivamente propriedade da empresa empregadora.
O monitoramento do ambiente de trabalho, a utilização indevida de determinado sites nos computadores/redes da empresa, etc. são pontos determinantes que terminam por fazer parte, hoje em dia, da política de segurança de ambientes corporativos.
De acordo com reportagem no site Terra (http://tecnologia.terra.com.br/interna/0,,OI4063838-EI4802,00-Uso+de+redes+sociais+no+trabalho+da+prejuizo+de+US+bi.html) a utilização de redes sociais durante o expediente de trabalho, acarreta prejuízo não só a Empresa (empregadora), mas também ao funcionário (empregado). A fuga de dados corporativos via redes sociais ou qualquer outro tipo de acesso não permitido é um ponto crítico quanto ao impacto da tecnologia da informação no ambiente de trabalho.
A utilização de blogs pessoais para postagens de, por exemplo, “perguntas mais burras do dia” pelos clientes; declaração de furtos de notas fiscais da empresa pelo funcionário via rede social, bem como a postagem de vídeos pessoais durante o expediente de trabalho foram consideradas, pela 1ª Vara do Trabalho de Piracicaba, em São Paulo, pelo Tribunal Regional do Trabalho (TRT) da 15ª Região e pela 10ª Câmara de Direito Criminal do Tribunal de Justiça de São Paulo (TJSP), condutas caracterizadoras da justa causa para a demissão dos funcionários responsáveis, como demonstra o blog Lei e Ordem (http://www.leieordem.com.br/direito-do-trabalho-uso-de-blogs-e-redes-sociais-e-motivo-de-demissao-por-justa-causa.html).
A utilização, por exemplo, da rede da empresa por meio do IPhone pessoal para atender questões pessoais caracteriza uma infração, em determinadas empresas, no que chamamos de infração às regras de política de segurança da informação. Isto porque a utilização de aparelhos não inspecionados e não disponibilizados pelo empregador, teoricamente, não possuem as barreiras necessárias para evitar vazamento de informações que circulam na rede da empresa empregadora.
Assim, mesmo sem intenção, o empregado acaba por tornar a empresa um alvo vulnerável a ataques virtuais.
Existem casos de utilização indevida do e-mail corporativo por funcionário pedófilo, por exemplo. Nesses casos, a incontinência de conduta e o mau procedimento, bem como a burla de regras da empresa para acesso de sites vedados através da rede, computador e e-mail corporativos, estão acima do descrito nos incisos X, XII, LVI do artigo 5º da CF/88. Isto é, o empregador tem total direito de regular o uso dos bens da empresa, conforme o artigo 2º da CLT; assim, evidenciada qualquer das condutas supramencionadas (incontinência, mau procedimento e burla) teremos caracterizada a falta grave.
Logo, a utilização do argumento de que deve haver proteção a intimidade e privacidade, nesses casos, é fraca. Principalmente pelo fato de que o código civil traz em seu artigo 932, III, e artigo 933, a responsabilidade objetiva da empresa pelos atos dos seus empregados. Ou seja, ao utilizar a rede da empresa ou o e-mail corporativo (que em tese deve ser utilizado unicamente para fins de trabalho) para realizar atividades e/ou condutas ilícitas, a navegação fica identificada como realizada pelo IP da empresa. E então, a responsabilidade por tal ato passa a ser da empresa empregadora, uma vez que se trata de uma responsabilidade presumida, logo independente de culpa, como afirma a Súmula 341 do STF (PECK:2009.p.144).
Dessa forma, o monitoramento não só quanto aos aparelhos estranhos utilizados dentro do seu estabelecimento, mas também quanto ao computador, a internet e ao e-mail corporativos, garante ao empregador que os bens disponibilizados estão sendo utilizados da forma correta e atua no sentido de garantir a segurança dos dados e informações da empresa.
Assim, as políticas de segurança da empresa empregadora, bem como suas regras internas deverão ser devidamente expostas aos seus funcionários para que não seja caracterizado o dano moral largamente alegado no Judiciário após o monitoramento do e-mail corporativo quando da percepção de algum uso indevido. Ou seja, as regras da política de segurança da empresa devem ser repassadas para todos os funcionários mediante leitura de um “Código de Conduta do terceiro” e assinatura de um termo de ciência. Tudo para evitar condutas inadequadas por falta de informação, por falta de conhecimento dos riscos e de suas conseqüências.
Isto porque, é importante lembrar que a informação, enquanto ativo da Empresa, pertence à Empresa e não àquele que a manipula. Logo, qualquer desvio de conduta, como furto, fraude ou falsificação (dentre outros), deve ser prevenido para que não chegue a necessidade de ser penalizado.
É nesse sentido de prevenção que entra a boa redação da Política de Segurança. É preciso entender a necessidade de cada empresa quanto às provas que se quer ter em mãos quando da ocorrência de uma conduta inadequada na utilização dos instrumentos de trabalho fornecidos.
Portanto, a utilização de termos genéricos e extremamente subjetivos, na redação da Política de Segurança, deve ser descartada tendo em vista a necessidade de clareza da informação para que se obtenha o máximo de orientação e fidelidade às regras por parte dos funcionários.
Só assim a empresa conseguirá “preparar o terreno” para coletar as provas que deseja, nos casos em que a prevenção não tenha surtido efeito.
Por fim, o estabelecimento de Políticas de Segurança deve ser entendido como um meio de gerenciamento de risco e colaborador da gestão da segurança da informação. Deve ser um trabalho realizado em conjunto (TI, RH e Jurídico) no sentido de definir as responsabilidades de cada membro da empresa. Pois, esta se tornará vulnerável e consequentemente não perdurará pelo fato de ser vítima de fraudes, furtos e falsificações de informações, por parte dos seus funcionários que, em tese, deveriam aderir às regras postas.

Paloma Mendes

Nenhum comentário:

Postar um comentário