Startups e Incidentes de Segurança: qual é a responsabilidade dos colaboradores?
Startups e Incidentes de Segurança: qual é a responsabilidade dos colaboradores?
Os incidentes de privacidade podem gerar vários prejuízos para a sua Startup como a aplicação de multas por parte da ANPD – Agência Nacional de Proteção de Dados ou a perda de credibilidade diante dos clientes e parceiros, porém é possível se preparar para tais incidentes como falamos neste artigo.
Diante destes incidentes a Justiça do trabalho tem discutido se é possível aplicar penalidades aos funcionários que causam tais incidentes.
Atualmente o Ifood sofreu um ataque por parte de um colaborador de uma empresa terceirizada que acessou o sistema e alterou o nome de vários restaurantes. Forçando o Ifood a avaliar o pagamento de indenização aos restaurantes que consigam comprovar qualquer prejuízo por tais atos.
Existem vários casos de incidentes de segurança causados por funcionários e, em regra, as penalidades vão recair sobre as Startups como empregadoras. Neste artigo vamos explicar quais as penalidades que podem ser aplicadas para estes colaboradores.
O que é um Incidente de Privacidade?
Um incidente de Segurança das informações, segundo o contexto trazido pela Lei Geral de Proteção de Dados (LGDP), é um acesso não autorizado, ilícitas ou acidentais de destruição, perda, alteração, comunicação ou difusão de dados pessoais.
A Startup pode definir limites com relação aos dados que os colaboradores terão acesso, limitando o acesso a dados essenciais para a realização das atividades do colaborador.
O limite deste acesso pode ser definido em políticas internas, onde será definido o momento em que o colaborador tem que ter acesso, bem como o fim do tratamento de tais dados internos.
Caso a Startup não tenha políticas internas de segurança de dados é importante que no contrato de trabalho tenha cláusulas de confidencialidade e tratamento de dados pessoais para que o empregado entenda que existe o dever de tratar os dados de forma adequada e somente para os fins da sua atividade.
A partir do momento que a Startup possui tais políticas ou exista cláusulas de tratamento de dados no Contrato de Trabalho e os colaboradores concordam e assinam tais documentos, as obrigações se tornam parte da relação de trabalho e devem ser cumpridas, caso contrário, estaremos diante de um incidente de segurança.
Quais as Penalidades podem ser aplicadas aos colaboradores que causam um incidente de segurança?
Como informamos antes, as políticas internas e as cláusulas de tratamento de dados no Contrato de Trabalho se tornam parte da relação de trabalho e quando são descumpridas, os funcionários podem ser penalizados.
As penalidades devem ser de acordo com a gravidade da conduta do colaborador, as penalidades possíveis são advertência verbal, advertência escrita e suspensão. A rescisão do contrato de trabalho é a penalidade máxima que pode ser aplicada e deve ocorrer nos casos de condutas graves e que ocasionam a perda da confiança da Startup em seu colaborador.
Quando tratamos de incidentes
de privacidade causado por colaboradores, as primeiras decisões que temos da justiça do trabalho é que é possível a rescisão do contrato de trabalho por justa causa.
A CLT em seu artigo 482 traz várias situações que possibilitam a demissão do colaborador por justa causa, para o nosso tema os mais importantes são o ato de improbidade e desídia no desempenho das respectivas funções (alínea a e b do artigo 482 da CLT).
O ato de improbidade são ações ou omissões dolosas que revelam a desonestidade do empregado para obter alguma vantagem para si ou para terceiros. A desídia do desempenho das respectivas funções é o descumprimento dos deveres com relação às atividades a serem realizadas por causa de negligência, imprudência ou imperícia do empregado.
Toda vez que um colaborador descumpre as regras estabelecidas no contrato de trabalho ou nas políticas internas ele pode ser penalizado e nos casos mais graves até mesmo demitido.
Em uma decisão recente, o TRT da 2ª Região entendeu como justo motivo para a rescisão do contrato de trabalho, o fato do colaborador descumprir as políticas internas de dados e compartilhar dados confidenciais para o seu próprio e-mail.
Porém, o entendimento da justiça do trabalho e das decisões recentes é que para haver uma demissão por justa causa a Startup precisa estar adequada e ter:
a) Políticas internas sobre o tratamento de dados pessoais.
b) Proporcionar treinamento para a equipe que lida com os dados.
c) Procedimentos internos de apuração do tratamento inadequado de dados.
d) Dentro do procedimento interno, solicitar uma justificativa do colaborador para ter realizado o tratamento inadequado dos dados.
O incidente de privacidade necessita de uma apuração detalhada para averiguar a responsabilidade direta do colaborador que estava ciente de suas obrigações e que inclusive foi treinado para realizar o tratamento adequado dos dados.
Vale lembrar que além da rescisão do Contrato de Trabalho nada impede que as Startup cobrem, em ações específicas, os eventuais prejuízos que estes colaboradores possam ter causado.
Conclusão
Embora as decisões envolvendo a demissão de colaboradores por justa causa com base na Lei Geral de Proteção de Dados sejam poucas e ainda recentes, podemos observar que ter políticas internas e Contratos de Trabalho bem elaborados é o caminho mais adequado e seguro para as Startups.
Caso não existam regras claras e/ou treinamento adequado com relação ao tratamento de dados a responsabilidade dos colaboradores é reduzida, tendo em vista que os colaboradores podem realizar um tratamento inadequado por falta de conhecimento com relação a Lei Geral de Proteção de Dados.
Por isso é importante adequar a sua Startup a Lei Geral de Proteção de Dados para garantir o correto tratamento dos dados dos colaboradores e de seus parceiros, por isso conte sempre com profissionais especializados que podem apoiar a sua Startup.