CORPORATIVO | 03.07.2020
Como a nova realidade afeta a proteção de dados pessoais?
A proteção dos dados pessoais é um assunto que a maioria dos governos dedica especial importância, uma vez que são informações privadas que devem ser utilizadas de forma lícita, confiável e transparente. Uma boa demonstração de seu valor nos países democráticos é o exemplo da União Europeia, uma das áreas em que esses dados pessoais são protegidos com maior diligência.
Com a pandemia no mundo, tudo o que diz respeito a esse assunto foi afetado por uma situação que levou os países a um estado de emergência, que tendia a reduzir as liberdades pessoais com o objetivo de alcançar um bem maior: frear o avanço do vírus.
Bem, no cenário que se formou depois de alguns meses confinados, e com países ainda no pico de contágios, há vários focos que afetam a proteção de dados pessoais: como os testes e acompanhamentos médicos que estão sendo realizados entram em conflito com esse direito? Quais medidas devem ser tomadas pelas empresas para respeitar a normativa existente com a implantação do trabalho remoto para muitos de seus funcionários? E, por último, o que os pequenos negócios que decidiram apostar em uma loja on-line devem fazer para compensar as perdas resultantes da impossibilidade de vender fisicamente como vinham fazendo?
Controle da doença
Em relação à primeira pergunta, na situação atual, as empresas têm a capacidade de tratar as informações relativas aos dados de saúde de seus trabalhadores para proteger a saúde e a segurança no trabalho. Isso pode ser observado na Agência Espanhola de Proteção de Dados (AEPD), regida pelo Regulamento Geral de Proteção de Dados (RGPD) desenvolvido pela União Europeia, um dos mais avançados do mundo.
“Na aplicação do estabelecido na normativa sanitária, trabalhista e, em particular, de prevenção de riscos ocupacionais, os empregadores poderão tratar, de acordo com essa normativa e com as garantias estabelecidas, os dados do pessoal necessários para garantir sua saúde e adotar as medidas necessárias pelas autoridades competentes, o que inclui igualmente assegurar o direito à proteção da saúde do resto da equipe e evitar os contágios dentro da empresa e/ou nos centros de trabalho que possam propagar a doença para o conjunto da população”, explica a AEPD a respeito.
Além disso, os empresários podem elaborar os planos de contingência necessários que tenham sido previstos pelas autoridades sanitárias. Assim, cumprindo em todos os momentos com a normativa de proteção de dados já que embora seja verdade, a própria AEPD sugere que “para cumprir as decisões sobre a pandemia de coronavírus adotadas pelas autoridades competentes, especificamente as sanitárias, a normativa de proteção de dados não deve ser utilizada para atrapalhar ou limitar a eficácia das medidas adotadas por essas autoridades na luta contra a pandemia”, tanto a AEPD quanto o Comitê Europeu de Proteção de Dados (EDPB, por suas siglas em inglês) apontaram também que, para a legalidade desses tratamentos, deve ser escolhida uma legitimação válida e garantir, de todas as formas, a proporcionalidade das medidas adotadas pelo empresário, sempre pensando na menos invasiva para o interessado e cumprindo com os princípios exigidos pelo Regulamento.
Trabalho remoto
Uma das práticas que viveu e vive um auge devido ao confinamento é o trabalho remoto, uma modalidade que não somente melhora a conciliação no trabalho dos funcionários, mas minimiza o impacto no meio ambiente e, inclusive, resulta em economias para as empresas. De fato, até 40% dos assalariados da UE continuaram com seus empregos dessa forma durante os meses de confinamento, de acordo com um estudo realizado pela Fundação Europeia para a Melhoria das Condições de Vida e de Trabalho. Aconteceu da mesma forma na América Latina, em que 40% das organizações já estavam com 80% de seu quadro de funcionários trabalhando de forma remota, de acordo com um estudo realizado pela consultoria PageGroup e reforçado pelo jornal eltiempo.com.
Nesse sentido, tanto as grandes companhias quanto as PMEs e os autônomos devem levar em conta que não se trata somente de providenciar um notebook para que o trabalhador realize suas tarefas habituais em casa, mas de tomar medidas de segurança adequadas que garantam a proteção dos dados e evitem qualquer tipo de falha de segurança
Basta lembrar que o RGPD já estabelece uma série de medidas que qualquer organização deve tomar, como a designação de um responsável pela proteção de dados em determinados casos, a elaboração do registro de atividades de tratamento, a análise de riscos, ou o estabelecimento de mecanismos e procedimentos de gestão de falhas de segurança, entre muitas outras.
Portanto, é de vital importância que os funcionários em trabalho remoto tenham à disposição ferramentas adequadas para que seu trabalho seja totalmente seguro, especialmente para os que tratam dados de clientes ou do próprio quadro de funcionários. Nesse caso, qualquer perda ou tratamento inadequado das informações pode levar a importantes sanções (até 4% do faturamento anual da empresa).
Por isso, tanto as agências dedicadas à proteção de dados quanto os especialistas em tecnologia e segurança destacam a utilização de ferramentas de trabalho com todas as garantias de segurança, sobretudo aquelas utilizadas para o envio de mensagens e informações, bem como as de compartilhamento de arquivos.
Nesse aspecto, a AEPD se pronunciou divulgando algumas recomendações em situações de trabalho remoto em que recomenda aos responsáveis pelo tratamento: definir uma política de proteção das informações para situações de mobilidade; escolher soluções e prestadores de serviço confiáveis e com garantias; restringir o acesso às informações; configurar periodicamente os equipamentos e dispositivos utilizados nas situações de mobilidade; monitorar os acessos feitos do exterior à rede corporativa; e administrar racionalmente a proteção de dados e a segurança.
Quanto ao pessoal que participa das operações de tratamento, ou seja, os funcionários, a AEPD recomenda respeitar a política de proteção das informações definida pelo responsável em situações de mobilidade, proteger o dispositivo utilizado em mobilidade e seu acesso, garantir a proteção das informações sendo manipuladas, salvar as informações nos espaços de rede habilitados e, em caso de suspeita de que as informações operadas tenham sido comprometidas, comunicar imediatamente a falha de segurança.
Novos modelos de negócio
Outra consequência da pandemia de COVID-19 foi a evolução de inúmeras empresas para novos modelos de negócio nos quais tudo o que é digital tem uma importância especial. E as restrições de movimento e de capacidade levaram à abertura de lojas on-line para compensar a menor afluência de clientes.
Assim como no trabalho remoto, as empresas que apostam no comércio eletrônico devem sempre respeitar os regulamentos que regem o processamento de dados pessoais, como a regulamentação dos serviços da sociedade da informação e do comércio eletrônico.
No caso do RGPD, esses sites devem ter uma Política de Privacidade que explique como os dados de clientes e funcionários são tratados e com que finalidade, identificar um responsável pelo tratamento, justificar a base de legitimação do tratamento, contar com um Responsável de Proteção de Dados que se responsabilize pelo cumprimento normativo, detalhar se os dados foram comunicados de forma internacional a outros países sem uma normativa equivalente, os direitos dos interessados etc.
Para atingir esses objetivos, é necessário ter apoio tecnológico para facilitar o trabalho. Geralmente, as PMEs e os autônomos têm menos recursos, mas nem por isso devem negligenciar essa conformidade. Como explica Borja Pérez, CEO da ITWISE Technology Services, “as tecnologias mais recomendadas para cumprir com os diferentes aspectos do RGPD e que as empresas devem adotar seria ter pelo menos uma cópia de dados local (backup on-premise) e na nuvem (cloud backup) para poder recuperar dados manipulados ou excluídos em caso de invasão ou perda; utilizar uma ferramenta de videoconferência para o trabalho remoto que seja segura e sempre cumprindo as recomendações de segurança apropriadas (controle de acessos às reuniões, cuidado ao compartilhar documentos etc.); utilizar uma conexão VPN para um acesso remoto seguro e que proteja de possíveis invasões; instalar um antivírus ou anti-malware corretamente e atualizado em todos os postos de trabalho; e, claro, que usuários tenham senhas seguras para um controle de acesso e legitimidade adequado”.
Resumindo, será necessário adaptar-se aos novos tempos da melhor forma possível, respeitando as normativas já estabelecidas.