A cada dia estamos diante de mais empregados que exercem suas atividades em computador, seja no clássico modelo de trabalho presencial, no teletrabalho ou home office. Consequentemente, as empresas se deparam com mais incidentes de segurança digital.
Um incidente de segurança pode ser definido como qualquer evento adverso, confirmado ou sob suspeita, relacionado à segurança de sistemas de informação, podendo levar à perda de um ou mais princípios básicos de segurança da informação: confidencialidade, integridade e disponibilidade.
Para configuração de um incidente de segurança, não necessariamente é necessário o efetivo vazamento de dados sensíveis. Esse seria um incidente de maior gravidade, em termos de proteção de dados do titular da informação, mas podemos estar diante de falhas na proteção de qualquer tipo de dado que esteja sob a guarda da empresa.
A referida situação pode ocorrer caso o empregado desative o antivírus do computador corporativo, altere a chave de segurança do administrador, plugue dispositivos móveis desconhecidos, acesse sites inadequados, instale programas indevidos ou cometa qualquer manobra que enfraqueça a proteção das informações.
Ao tornar o computador corporativo mais vulnerável e, assim, burlar sistemas de proteção, estamos diante de irregularidades que podem provocar prejuízos catastróficos às empresas. Afinal, incidentes digitais podem expor o empregador a graves riscos de invasão por terceiros, vazamento e sequestro de dados sigilosos e imprescindíveis para o bom funcionamento da atividade empresarial, da livre concorrência e, até mesmo, da sociedade em si, que se beneficia dos produtos e serviços oferecidos.
É imprescindível que as empresas elaborem e, se necessário, renovem suas políticas internas de uso de recursos da tecnologia e informação, para além do clássico termo de sigilo e confidencialidade das informações, destacando, em especial, o cuidado com questões cibernéticas, cada vez mais presentes e polêmicas neste mundo tão tecnológico e conectado.
É de suma importância que todos os empregados tenham conhecimento dos termos apresentados. Inclusive é válido oferecer um rápido treinamento a respeito, reforçando, principalmente, o necessário zelo com as informações confidenciais e a necessidade de proteção dos dados mediante senhas fortes, manutenção do antivírus, impossibilidade de instalação de programas indevidos e, claro, envolvimento do time de tecnologia da informação (TI) para qualquer alteração nos computadores.
A fim de garantir a obediência dos empregados às regras apresentadas e assegurar a proteção dos dados, a empresa deve incentivar e fortalecer a importância desses cuidados, indicando, inclusive, que poderá monitorar, bloquear acessos indevidos e, até mesmo, intervir caso ações indevidas sejam detectadas.
A partir do momento em que a empresa se resguarda com referidas políticas e conscientiza todos que estão nela inseridos, se assegura de que os empregados terão plena ciência do que pode ou não ser feito e, em atenção ao poder diretivo do empregador e, claro, dos limites da razoabilidade e proporcionalidade, poderá avaliar eventual quebra de confiança e penalidade a ser aplicada caso seja identificado um incidente de segurança.
A referida investigação poderá ocorrer mediante sindicância interna, sendo de suma importância o envolvimento da equipe de TI, que bem esclarecerá os riscos de uma perspectiva técnica, bem como registros de todas as violações encontradas e, claro, o direito à defesa daquele que for investigado.
Nesse caso, a depender do incidente identificado, caso burladas as importantes regras de segurança da informação da empresa, o empregador pode se ver no direito de aplicar até mesmo a penalidade máxima (dispensa por justa causa) se a situação for suficientemente grave para romper a confiança então depositada, e se enquadrada nas hipóteses do artigo 482 da CLT, como por exemplo ato de improbidade, mau procedimento, indisciplina e desídia.
Se a empresa entender que a ação ou omissão do empregado não sujeitar a sérios prejuízos e não tiver gravidade suficiente para romper a confiança e inviabilizar a continuidade da relação de emprego, poderá optar por, primeiramente, aplicar advertência ou suspensão. Contudo, a depender da gravidade envolvida e, claro, das provas encontradas, poderá a empresa deixar de observar a gradação das penas e optar pela justa causa de imediato.
Nessa hipótese, é recomendável que a empresa apenas aplique a dispensa por justo motivo se estiver bem resguardada de evidências que comprovem o incidente de segurança pelo empregado, bem como argumentos fáticos, técnicos e jurídicos que justifiquem a penalidade máxima para o caso concreto, sob pena de reversão para dispensa imotivada e eventual condenação da empresa ao pagamento de indenização por danos morais perante a Justiça do Trabalho.
Outro ponto relevante para o debate sobre o tema é o fato de que não necessariamente deverá ser concretizado o prejuízo ao empregador. Por se tratar de incidente de segurança, a penalidade pode ser aplicada pelo fato de as normas de segurança da informação terem sido descumpridas, ainda que a ação do empregado não gere concreto prejuízo. O que importa é o potencial risco que a empresa correu.
Um único ato suficientemente grave, como deixar o sistema de dados da empresa vulnerável e suscetível a vírus e ataques hacker, se não descoberto e barrado a tempo, pode provocar gravíssimos e irreparáveis prejuízos à empresa.
Sendo assim, cabe ao empregador conscientizar seus empregados sobre os cuidados com a segurança das informações, compartilhando políticas internas e se resguardando do direito de investigação e aplicação de penalidades, inclusive de dispensa por justa causa a depender do potencial risco de exposição sofrido.