Por Patrícia Peck

O que realmente é o Direito a Privacidade previsto na Constituição Federal de 1988? É interessante observar que um estudo mais atento e aprofundado do tema nos mostra que em muitos aspectos as tecnologias de Segurança da Informação possibilitam a proteção da privacidade e não uma ameaça a mesma. No entanto, o "como fazer" (ou know how) faz toda a diferença para que se evitem riscos jurídicos desnecessários.

Primeiramente, devemos diferenciar o que é Privacidade de Meio, do que é Privacidade de Conteúdo (ou dados). Esta distinção é fundamental para evitar a maior parte dos erros e confusões que muitas pessoas cometem ao implementar Políticas de Segurança da Informação com uso de Monitoramento nas empresas. Neste sentido é errado analisarmos isoladamente as decisões judiciais que têm sido proferidas, em especial, não devemos fazer apenas a leitura dos Acórdãos. O processo judicial é o conjunto de argumentos e provas apresentados pelas partes, e não apenas a decisão isolada. O que já temos em âmbito dos tribunais brasileiros como STF e TST demonstram que a justiça está atenta a não permitir que o mau uso da tecnologia gere impunidade e danos a terceiros. Mas para a empresa poder, de fato, se beneficiar de decisões favoráveis ao monitoramento, e se eximir de responsabilidade civil solidária, é preciso observar uma série de requisitos legais que devem estar implementados e alinhados com a tecnologia.

No primeiro caso, a Lei Brasileira traz uma proteção ao domicílio do indivíduo. Sendo assim, se não for domicílio, não haveria então o que se falar em vida privada? Infelizmente, na sociedade atual, conectada e em tempo real, é muito difícil separar o que é a vida pessoal, do que é a vida profissional, até aonde estão os limites de nossa casa. Logo, a não ser que estejamos nos referindo a espaços públicos e abertos, há uma presunção de privacidade em ambientes de empresas em geral. Por isso, é fundamental que sempre haja um aviso legal de que o ambiente é não privativo no caso de se fazer uso de algum tipo de tecnologia de monitoramento. Ou seja, o aviso deve ser prévio e feito no próprio meio para garantir que a pessoa foi informada e tinha ciência de que tudo que estivesse fazendo (dizendo, agindo, escrevendo, navegando) estaria sujeito a observância de terceiros. É claro que se este aviso prévio não puder ser feito a parte devido justamente a necessidade de a mesma ser flagrada, ou seja, serem coletadas provas de sua conduta que de outro modo não ocorreriam, a solução é solicitar via judicial a referida autorização, que será sempre limitada em termos de propósito e tempo, que é o que significa dizer que se tem uma ordem judicial legitimando a ação.

No segundo caso, diz respeito a proteção das informações sobre os indivíduos, cuja origem é justificada justamente por nosso histórico pós regime militar. Sendo assim, é fundamental que os dados sejam guardados e protegidos em sua privacidade, com restrição de uso e compartilhamento dos mesmos, a não ser que autorizados pela parte. Ou seja, nesta hipótese, há duas situações que devemos observar. Uma delas é a questão do uso de conteúdos de email em que o autor escreveu algo que em princípio estaria protegido por privacidade. Se o que ele escreveu estiver em uma conta de email corporativo "@nomeempresa.com.br", e estiver claro no rodapé da mensagem que o conteúdo está sujeito a monitoramento, bem como o mesmo estiver com assinatura padrão da empresa (nome do profissional, cargo e nome da empresa), então este conteúdo é da empresa, e não da pessoa. Logo, está protegido por sigilo profissional perante terceiros e não perante a empresa. Ela pode usar, acessar e dispor do mesmo.

Já se o conteúdo foi escrito em uma conta de email particular, em que é a pessoa que paga pela mesma, a situação muda um pouco. Em princípio, o conteúdo estará protegido, principalmente se estiver criptografado. No entanto, a empresa pode requisitar via judicial a abertura e leitura da caixa postal com os emails pessoais se houver indícios de que por exemplo o profissional esteja cometendo um crime (ex: frude, vazamento de informação confidencial, etc). Ressaltamos que é preciso ter algum indício e pleitear a autorização via justiça. Isso é uma forma de não apenas proteger a empresa, como garantir que a prova poderá ser utilizada sem que configure prova obtida por meio ilegal.

Se na hipótese acima a pessoa estiver baixando o email via servidor da empresa, que é um ambiente sujeito a monitoramento, é fundamental que a mesma avise e tome ciência formal de seus profissionais. A empresa não estará cometendo uma infração se vier a monitorar este email com aviso prévio, quando estiver dentro do ambiente da empresa, pois já está dito que é não privativo, mas não poderá usar o conteúdo da mensagem, a não ser que tenha tido autorização judicial para efetuar a abertura e leitura da mesma. Principalmente por que a tecnologia de filtros de conteúdo e email utiliza, em geral, palavras-chave, e para o correto entendimento de um caso de infração é preciso separar a mensagem suspeita em uma quarentena e então fazer a leitura da mesma. A leitura por software, por não dar uma compreensão da inteireza do teor do conteúdo não fere o direito a privacidade, quando apenas seleciona as que tiverem algum risco ou indício. Tanto é que a empresa pode decidir fazer a leitura da mensagem na presença do profissional, caso a mesma seja bloqueada em um filtro, o que poderia até mesmo retirar a obrigatoriedade da autorização judicial.

Agora, se o profissional acessa seus emails por webmail, sem passar pelo servidor, voltamos para a hipótese de necessidade de autorização judicial para que se possa fazer uso do conteúdo do mesmo.
Para finalizar o estudo de situações, salientamos que quando tratamos de bancos de dados, e não emails ou navegação de internet, é justamente a segurança da informação que garante a proteção da privacidade. Por exemplo, a guarda segura dos dados de Recursos Humanos da empresa, aonde há informações como salário, endereço, estado de saúde do profissional que a empresa deve garantir que estarão a salvo e protegidos do acesso de pessoas não autorizadas. O mesmo com os dados de consumidores.

Logo, não podemos simplificar a questão de aplicação de processos de segurança da informação em harmonia com o direito a privacidade. É importante fazer uma análise detalhada da estrutura da empresa, da arquitetura da informação, da forma como estão os sistemas de email, rede e internet, e do inventário de documentos legais, tais como contrato de trabalho, políticas, códigos, disclaimers, rodapés, avisos de sistema. Tudo isso deve ser integrado dentro de uma estratégia que proteja a empresa e os usuários e que garanta o uso da prova em situação de discussão judicial.

Para uma adequada implementação de uso de Monitoramento e Política de Segurança da Informação devem ser atendidos uma série de requisitos legais, em observância as seguintes normas: Constituição Federal - Art. 5ª, IV, V, X, XII, XIV, XXVII, XXXII, LVI; Art. 170, II, IV, V, VII; Código Civil 2002 - arts. 186, 187, 927, 1011, 1016, do direito obrigacional (em especial o Título IX - Da responsabilidade civil); Consolidação das Leis Trabalhistas - Arts. 2º., 3º, 442, 482; Código Penal - Arts. 184, 307, 313-A, 313-B; Lei 9.279/96 - Art.195; Lei 9.609/98 - Art.12. Para tanto, devemos fazer as perguntas certas, para gerar o diagnóstico mais adequado. Um check-list básico tem cerca de 40 questões, e seguem algumas:

1. Vamos monitorar?
   
2. O que vamos monitorar (email corporativo, email pessoal também, tudo que passar pelo servidor, arquivos anexos, navegação na internet, rede, ambientes de mídias removíveis)?
   
3. Como vamos informar sobre o monitoramento (por um termo de ciência, por aviso via sistema, nos rodapés de email, no site, em todas as formas)?
   
4. Vamos autorizar o acesso a webmail?
   
5. Vamos autorizar o uso do computador para fins pessoais (loja, internet banking, outros)?
   
6. Vamos usar os relatórios de conexão e navegação na internet para fins apenas de segurança da informação, ou para análise de produtividade?
   
7. A assinatura do email corporativo é feita via servidor ou o usuário pode colocar e tirar quando quiser?
   
8. O email corporativo fica retido no servidor ficando apenas uma cópia espelhada pra o usuário ou ele baixa na máquina? Se baixar, ficamos sem o backup?

Concluindo, há muito que ser feito, devemos criar uma Política de Segurança da Informação Sustentável, informando, orientando, educando, monitorando e punindo.

Dra. Patricia Peck, advogada especialista em Direito Digital, autora do livro "Direito Digital" pela editora Saraiva. (www.patriciapeck.com.br