Por Tamara Pasquali Bastos*

Embora as empresas estejam investindo cada vez mais em segurança da informação e tal cultura esteja começando a fazer parte do cotidiano das organizações, ainda são comuns os casos em que funcionários desviam documentos e informações de propriedade das empresas utilizando uma ferramenta digital indispensável na atualidade: o e-mail.

O desvio de informações de propriedade da empresa é conduta grave e pode ser motivo suficiente para demissão do funcionário por justa causa. Uma medida que pode colaborar para a prevenção desse tipo de incidente é o monitoramento do e-mail corporativo, o que é autorizado pela legislação vigente, contanto que o funcionário esteja ciente.

Porém, controlar tudo que será enviado pelos funcionários via e-mail corporativo pode não ser viável para muitas organizações, seja pelo custo das ferramentas ou pelo grande fluxo de comunicações diárias, obstaculizando a análise prévia ou mesmo o controle posterior de cada documento enviado para fora do ambiente corporativo.

Por tais motivos, é comum que empresas não consigam barrar o desvio de documentos ou de informações para ambientes externos, sendo forçadas, assim, a lidarem com o incidente e seus muitos prejuízos.

Em nossa experiência, observamos que é extremamente comum que o conteúdo do documento desviado consista em propriedade intelectual da empresa, informações sigilosas e/ou de alta relevância que podem favorecer concorrentes ou ainda que possuam dados pessoais de clientes, fornecedores e funcionários, o que pode sujeitar a organização a sanções, crises reputacionais e grandes prejuízos materiais.

CONHECIMENTO: FORTE ALIADO DA PREVENÇÃO

Normalmente, o desvio se dá de forma intencional pelo funcionário. No entanto, não são incomuns situações em que se observa a total ausência de má-fé do colaborador, que, por mera desatenção às regras, acaba por enviar documento com informações sigilosas para seu e-mail pessoal ou dispositivo de armazenamento em nuvem para concluir alguma tarefa em sua residência, por exemplo.

Ocorre que, da mesma forma que nos casos intencionais, o encaminhamento de documento com informações sigilosas ou dados de propriedade da empresa acaba por colocar em risco a organização, na medida em que não há como esta garantir a segurança e confiabilidade dos ambientes externos ao seu próprio.

Nesse sentido, cabe às organizações, além de adotar ferramentas de segurança e prover equipamentos adequados para que os colaboradores possam exercer suas funções, possuir regulamentos de segurança da informação.

No mais, independentemente da posição que os colaboradores ocupem na organização, é de extrema importância que esta adote medidas para se assegurar de que todos estão cientes das normas internas e das consequências previstas em caso de descumprimento, sendo que a realização de treinamentos periódicos é forte aliada nessa frente. Tais medidas são essenciais para minimizar os riscos de sofrer incidentes, bem como subsidiar eventuais medidas de responsabilização e, até mesmo, mitigar os prejuízos sofridos nos casos de vazamento de informações.

AS INFORMAÇÕES FORAM DESVIADAS. E AGORA?

Apesar das medidas preventivas que podem ser adotadas pelas organizações, toda empresa corre o risco de sofrer com o desvio de documentos ou informações de sua propriedade.

Quando isso ocorre, é imprescindível agir de forma rápida e eficaz, especialmente quando o desvio é feito em ambiente virtual, uma vez que as provas que precisam ser preservadas podem ser facilmente deletadas, dificultando eventual responsabilização de quem provocou o incidente.

O primeiro passo é adotar medidas para preservar as provas da ocorrência do desvio, o que deve ser realizado com as necessárias cautelas dispensadas às provas digitais, que podem vir a ser deletadas ou sobrescritas com o passar do tempo.

Em seguida, é necessária a análise da gravidade daquele incidente para que a organização possa avaliar as medidas que deverão ser adotadas em face do funcionário.

Nesse sentido, cabe mencionar que, além da aplicação de sanções administrativas, a empresa poderá acionar o colaborar judicialmente, com o objetivo de obter ordem inibitória que o proíba de utilizar e divulgar as informações presentes naquele documento, sob pena de multa. Além disso, a organização pode pleitear indenização por danos morais, justificada pela quebra de confiança e pela ofensa à sua reputação.

Em situações mais graves, em especial nos casos em que há indícios da prática de concorrência desleal, o recomendado é adotar medida judicial de produção de provas, com o objetivo de analisar os dispositivos pessoais do funcionário para avaliar a destinação dada ao documento desviado. Isso possibilita a análise da extensão dos danos causados e possível envolvimento de terceiros, eventuais concorrentes, viabilizando a adoção das medidas de responsabilização.

Ademais, no atual cenário, nos casos em que o documento desviado possua dados pessoais, nos termos da Lei Geral de Proteção de Dados (LGPD), é importante que também seja realizada análise minuciosa dos dados encontrados na documentação desviada, possibilitando a adoção de providências previstas na referida legislação para estar em compliance com a Lei e evitar eventuais punições.

AS CONSEQUÊNCIAS CRIMINAIS DO DESVIO DE INFORMAÇÕES

Cabe, por fim, mencionar que o desvio das informações de uma empresa pode gerar responsabilização do funcionário também na esfera criminal.

Se for comprovado que a conduta do funcionário violou o segredo da empresa, o artigo 154 do Código Penal reconhece que a “violação de segredo profissional” é crime, com previsão de detenção de três meses a um ano ou aplicação de multa.

Além disso, outra conduta de extrema gravidade que pode ser identificada quando ocorre o desvio de informações sigilosas é a prática de concorrência desleal, cujas inúmeras condutas estão previstas nos incisos do artigo 195 da Lei de Propriedade Industrial (Lei 9.279/1996), também consideradas práticas criminosas passíveis de penas de detenção ou multa.

Assim, embora a tecnologia seja uma forte e indispensável aliada do desenvolvimento das organizações, também deve ser tratada com cautela na medida em que as expõem a maiores riscos.

Dessa forma, recomenda-se que as empresas invistam em sua estrutura de segurança da informação por meio de ferramentas, adoção de regulamentos e realização de treinamentos periódicos dos funcionários. É essencial também dispor de um plano de ação em face de incidentes de segurança da informação, possibilitando uma atuação rápida e eficiente perante um incidente, minimizando riscos e prejuízos e, ainda, viabilizando a responsabilização do colaborador e eventuais terceiros envolvidos.

* Tamara Pasquali Bastos é advogada da área contenciosa digital do Opice Blum, Bruno, Abrusio e Vainzof Advogados Associados.