Teletrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (I)

Antonio Gil Moyano    Juan Carlos Fernández Martínez    11 enero, 2021
Tetrabalho: equilíbrio entre controle empresarial e privacidade do trabalhador (I)

A esta altura, fechando o ano de 2020 e olhando para trás, ninguém teria imaginado o avanço na digitalização de organizações e empresas por a irrupção do teletrabalho devida à atual situação de pandemia global. Um avanço a que empregadores e trabalhadores tiveram que se adequar implementando metodologias de trabalho à distância e, dado que o teletrabalho veio para ficar, alguns governos optaram pela sua regulamentação, como a Espanha, que o fez em setembro passado com o Real Decreto-Lei 28/2020, a Argentina em agosto passado com a Lei 27.555 ou o Chile em março com a Lei 21.200. Observamos também como outros países da região já o tinham regulado anteriormente em seu ordenamento jurídico, como a Colômbia, que o fez em 2008 com a Lei 1.221 ou o Peru em 2013 com a Lei 30.036, ou, finalmente, a Costa Rica, que foi adicionado no ano passado de 2019 com a Lei 9.738.

Regulamento do teletrabalho na Espanha

A Lei do Trabalho à Distância harmoniza as normas básicas que os empregadores devem aplicar para a implementação do teletrabalho nas suas organizações. Essa modalidade já era uma realidade para pequenas e ágeis empresas como startups; Porém, para organizações e administrações maiores, tem sido uma improvisação total, como se pôde constatar nos confinamentos ocorridos a partir do mês de março.

Esta circunstância evidenciou a falta de metodologias e sistemas de adaptação do trabalho remoto, aumentando a superfície de exposição dos dados das organizações e, consequentemente, agravando os problemas de segurança cibernética, ainda mais considerando que o uso de equipamentos de informática pessoal e as conexões em redes privadas faziam com que as informações corporativas saíssem do perímetro de segurança oferecido pelas instalações das organizações.

Apesar das críticas do setor empresarial na tramitação do anteprojeto da Lei do Trabalho Remoto, governo, empresários e sindicatos finalmente conseguiram chegar a um acordo. Um dos pontos fracos era a obrigação de cobrir as despesas incorridas pelos trabalhadores. A decisão é que o pagamento pelos empregadores será cobrado nos casos em que seus trabalhadores teletrabalharem em percentual superior a 30% da jornada de trabalho, ou seja, para dias de cinco dias e quarenta horas semanais, a regra será aplicável para quem trabalha de sua casa mais de um dia e meio por semana, calculado em períodos trimestrais. Essa circunstância pode pesar no aumento do teletrabalho, já que supõe para o empregador um duplo desembolso, manutenção de escritórios e pagamento de despesas do teletrabalhador.

O mais interessante da norma e que reúne o binômio técnico e jurídico, encontra-se no inciso h) do artigo 7º, que trata da necessidade de regulamentar os meios de controle empresarial, que deve ser por escrito no contrato de teletrabalho. Nesse sentido, existe um campo jurídico interessante que requer o estudo da jurisprudência dos tribunais superiores, caso a caso, e verificar como os juízes entendem que o acesso lícito às informações provenientes de equipamentos de informática e/ou emails corporativos dos empregados. A base para o sucesso de um bom acordo é a confiança e o equilíbrio entre o poder de controle do empregador e o direito do trabalhador à privacidade.

Segurança e privacidade no teletrabalho

Dentro deste novo paradigma na forma de trabalhar fica evidente que, depois das pessoas, a informação continua a ser o principal património das empresas e que a sua segurança, agora mais do que nunca, pode estar comprometida pela utilização de computadores pessoais que estão fora do controle da empresa.

A ausência de uma política de uso adequado dos sistemas de informação na maioria das empresas é um dos principais motivos pelos quais não está sendo realizada uma gestão adequada desses recursos, o que em muitos casos pode afetar seriamente a continuidade do negócios.

Como auditor de segurança da informação, especialista em tecnologia e empresário, sou responsável por implementar as medidas necessárias para mitigar ou reduzir os riscos associados à segurança da informação, mas, se o incidente ocorrer, também investigá-lo, coletar e analisar evidências que ajudam a identificar a origem do problema.

O objetivo da norma ISO/IEC 27001: 2013 é proteger a confidencialidade, integridade e disponibilidade das informações nas empresas, entre outros, inclui aspectos relacionados ao Teletrabalho e ao Uso Aceitável dos Ativos da Empresa. O ponto 8.1.3 estabelece o objetivo de documentar o uso adequado da informação, descrevendo os requisitos de segurança dos bens disponibilizados ao funcionário, como computador ou laptop, celular, conta de e-mail… comunicando sempre de forma adequada para evitar o uso imprópria, como extrair informações sem autorização (confidencialidade), manipulação de informações (integridade), phishing ou ransomware (disponibilidade), entre outros.

Esta política de uso aceitável pode ser adotada pela empresa fora da certificação. A questão é: se assinarmos um acordo de confidencialidade ou NDA com nossos funcionários, por que não documentamos uma política e assinamos um documento de uso adequado de ativos? Isso evitaria muitos problemas técnicos e jurídicos diante de possíveis incidentes relacionados à segurança e privacidade no teletrabalho, em primeiro lugar, porque o funcionário está devidamente informado e explicado o que pode ou não fazer com os recursos da empresa, em segundo lugar , é assinado um documento que o comprova e se o incidente finalmente ocorrer, não se pode alegar o desconhecimento dos regulamentos e políticas relativas à segurança das informações da empresa.

O ponto 6.2 fala especificamente em garantir a segurança da informação na utilização de recursos para mobilidade e teletrabalho, é também um objetivo muito extenso que não podemos aprofundar, mas que resumimos no próximo ponto, que se aplica a riscos associados a esta prática, os controles que devem ser implementados para reduzi-los ou mitigá-los e o estabelecimento de métricas que permitam um monitoramento adequado. 

Este é um exemplo enm espanhol de documento a ser assinado pelo colaborador, que deve incluir os aspectos do RGPD relativos ao tratamento dos seus dados pessoais pela empresa:

Na segunda parte desta postagem, continuaremos a nos aprofundar neste tópico, especificando o equilíbrio entre controle de negócios e privacidade e as ferramentas de controle. Esperamos que ache isso útil.


Segunda parte agora disponível:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *