Risco com dispositivos pessoais de funcionários

Por Fernanda Perregil

Imagine uma empresa ter de pagar uma multa de milhões por não ter armazenado os registros das comunicações que seus funcionários fizeram por meio de suas contas pessoais do WhatsApp. Pois bem, isso vem acontecendo com alguns bancos de investimentos nos Estados Unidos, principalmente quando esses sofrem autuações de agências reguladoras, por infringir a obrigação de manter esses dados resguardados, a fim de coibir práticas de insider trading.

No último mês de junho, uma dessas agências reguladoras dos EUA exigiu que diversos bancos entregassem os celulares pessoais de mais de 100 funcionários em posições estratégicas, trazendo a discussão sobre onde termina o direito de vigilância dos bancos.

Essa discussão vem aumentando devido ao crescente número de empresas que estão aderindo à política de BYOD (bring your own device – traga seu próprio dispositivo), na qual os dispositivos pessoais passam a ser incorporados às atividades do dia a dia da empresa. Como política de segurança das informações ou de proteção contra o hackeamento, essas instituições estão exigindo que funcionários tenham em seus celulares pessoais um aplicativo capaz de acessar conversas de voz e mensagens de texto, o que tem fomentado ainda mais as discussões sobre o direito de vigilância e o direito à privacidade.

Embora no Brasil a legislação seja diferente e não preveja exatamente a obrigatoriedade de as empr sas terem acesso ou, ainda, armazenarem os registros de conversas de seus funcionários feitas em dispositivos pessoais, a empresa continua sendo responsável pela reparação civil decorrente de atos praticados “por seus empregados e prepostos, no exercício do trabalho que lhes competir, ou em razão dela”, como reza o artigo 932 do nosso Código Civil.

Logo, diante de um caso de vazamento de informação sigilosa que gere um impacto no mercado, por exemplo, a empresa poderá ser punida, ainda que desconheça ou não identifique os autores da infração. Grandes corporações e outras organizações que lidam com dados confidenciais estão nesse cenário.

No mercado financeiro, a situação é bem mais delicada: o uso de informações privilegiadas para obter vantagens, o chamado insider trading, pode levar a pena de reclusão de um a cinco anos, e multa de até três vezes o montante da vantagem ilícita obtida em decorrência do crime, conforme o artigo 27-D da Lei nº 6.385/76. A fiscalização de denúncias d e insider trading é usualmente realizada pela Comissão de Valores Mobiliários (CVM).

Portanto, ter controle sobre o fluxo de informações de trabalho é mais do que uma responsabilidade da empresa, mas uma obrigação. Uma tarefa especialmente difícil, inclusive porque as fronteiras entre o profissional e o pessoal foram ainda mais diluídas com a pand demia, e as discussões sobre trabalho facilmente se estendem a conversas por meio de contas pessoais e fora do horário de expediente.

Pode ser tentador à empresa exigir assinatura do funcionário em termo de responsabilidade no qual solicita prévia autorização para investigar suas contas pessoais, mas acredite, esse é um erro, assim como requerer diretamente ao empregado o acesso a esses dados, mesmo em caso de denúncia interna, salvo haja uma determinação judicial que mude esse cenário.

Primeiro, porque ficam em rota de colisão dois importantes direitos. O direito de vigilância dos empregadores e o direito à privacidade dos empregados, sendo que em ambas as medidas pode haver coação ou violação da privacidade, e nos dois casos não haveria efetivamente como buscar as informações desejadas de forma cirúrgica sem resvalar em conteúdo estritamente pessoal e que não tenha qualquer ligação com o teor da denúncia. Lembrando que a privacidade é um direito fundamental garantido pelo artigo 5º, inciso X, da Constituição. E no fim do ano passado, o Senado aprovou a PEC nº 17, que também torna a proteção de dados pessoais um direito fundamental.

Não há, portanto, outra saída que não seja a da informação. É preciso divulgar reiteradamente as regras de compliance, eleger ferramentas próprias de comunicação interna, promover treinamentos, alertar para as implicações de comunicações indevidas e estimular os gestores a criar e fomentar a cultura de trocar informações sobre trabalho apenas por meio de canais corporativos.

A empresa precisa estar atenta, acompanhando de perto como se dá o controle deste fluxo de informações e elaborar cuidadosamente uma estratégia para lidar com denúncias, caso apareçam. E ainda que a empresa lance mão de todos os recursos disponíveis, o tema sempre será delicado e algum nível de risco existirá, principalmente dentro do chamado “risco residual” segundo o qual permanece mesmo após ter levado em consideração todas as ações de mitigação por meio de atividades de controle.

Diante do emaranhado de leis que cada situação pode ensejar, cabe sempre uma avaliação minuciosa e detalhada, bastando um deslize para que um problema de vazamento de informações tome dimensões enormes, pondo em risco as relações comerciais e até a credibilidade da empresa. Mas o grande desafio das empresas é fazer todo esse controle sem violar o direito à privacidade.

Porquanto, esse movimento que propaga uma fiscalização irrestrita e sem limites, pensando nesse exemplo do aparelho celular pessoal, pode ser um verdadeiro retrocesso em termos de  liberdade, intimidade e vida privada, direitos esses conquistados a muito custo, que agora precisam ser compatibilizados com as demais obrigações no mundo do trabalho e não simplesmente ignorados.

Fernanda Perregil é sócia da Innocenti Advogados e head das áreas Trabalhista e ESG e pesquisadora do Núcleo de Pesquisa da USP

Artigo publicado no jornal Valor.