Como manter a LGPD no trabalho remoto?

O avanço tecnológico e as mudanças no cenário global impulsionaram a adoção do trabalho remoto, tornando-o uma prática comum em diversas organizações. Contudo essa modalidade traz desafios significativos no que tange à proteção de dados pessoais. A Lei Geral de Proteção de Dados (LGPD) estabelece diretrizes claras para o tratamento dessas informações, exigindo que empresas e colaboradores adotem medidas adequadas para garantir a privacidade e a segurança dos dados, mesmo fora do ambiente corporativo tradicional.

A transição para o home office intensificou a necessidade de uma cultura de privacidade robusta, onde a responsabilidade pela segurança da informação não recai apenas sobre o setor de TI, mas sobre todos os envolvidos. O RH, por exemplo, tem um papel crucial na conscientização e no treinamento dos colaboradores, enquanto a liderança deve garantir o suporte e a infraestrutura necessários. A conformidade com a LGPD no trabalho remoto é um pilar para a confiança dos clientes e para a proteção da reputação e sustentabilidade do negócio.

Índice:

• Responsabilidades das empresas
• Responsabilidades dos colaboradores
• O que a empresa pode e não pode fazer no home office
  • A empresa PODE:
  • A empresa NÃO PODE:
• Boas práticas para fortalecer a cultura de privacidade
• Mantendo o home office no caminho certo

Responsabilidades das empresas

As organizações, como controladoras de dados, possuem obrigações específicas e inegociáveis para assegurar a conformidade com a LGPD no contexto do trabalho remoto, mitigando passivos e fortalecendo a segurança. Algumas medidas que devem ser tomadas:

1. Implementação de políticas de segurança da informação: é fundamental desenvolver e disseminar políticas internas claras e abrangentes que orientem os colaboradores sobre as práticas adequadas de proteção de dados no home office. Essas políticas devem abordar o uso de dispositivos, acesso a redes, tratamento de informações confidenciais e procedimentos em caso de incidentes.
   
    
2. Fornecimento de infraestrutura segura: sempre que possível, a empresa deve disponibilizar equipamentos e softwares que atendam aos padrões de segurança necessários, como sistemas atualizados, antivírus e VPNs (redes virtuais privadas). Isso reduz significativamente os riscos associados ao uso de dispositivos pessoais (BYOD - Bring Your Own Device), que, se não regulamentado, pode ser uma porta de entrada para vulnerabilidades.
   
    

3. Treinamento e conscientização contínua: promover capacitações regulares e dinâmicas é essencial para que os funcionários compreendam a importância da proteção de dados e saibam como aplicar as melhores práticas no dia a dia. Isso inclui desde a criação de senhas fortes até a identificação de tentativas de phishing. A conscientização deve ser um processo contínuo, não um evento isolado.

    

4. Monitoramento adequado e proporcional: embora seja legítimo e necessário monitorar as atividades laborais para garantir a produtividade e a segurança dos dados, é imprescindível respeitar a privacidade do colaborador. As empresas devem evitar práticas invasivas e garantir transparência sobre os métodos de monitoramento utilizados, informando previamente os colaboradores sobre o que será monitorado e com qual finalidade, sempre dentro dos limites legais.

Responsabilidades dos colaboradores

Os funcionários também desempenham um papel crucial e ativo na proteção de dados durante o trabalho remoto, sendo elos fundamentais na corrente de segurança da informação. Cabe a eles:

1. Uso consciente de informações: evitar compartilhar dados pessoais de colegas, clientes ou da empresa fora dos canais corporativos autorizados e seguros. A atenção a e-mails, mensagens e compartilhamento de arquivos é vital.
    
2. Manutenção da confidencialidade: seguir rigorosamente as políticas internas relacionadas ao sigilo de informações, ao uso adequado dos sistemas da empresa e à proteção de documentos físicos e digitais. A confidencialidade é um pilar da LGPD.
    
3. Prevenção e comunicação de incidentes: estar atento a qualquer suspeita de vazamento, acesso não autorizado ou uso indevido de dados e comunicar imediatamente ao setor responsável (TI ou DPO). A agilidade na comunicação é crucial para a mitigação de danos.
    
4. Adoção de medidas de segurança pessoal: utilizar conexões de internet seguras (evitando redes públicas), manter dispositivos de trabalho atualizados com as últimas versões de software e antivírus, e empregar senhas fortes e autenticação em dois fatores sempre que possível.

O que a empresa pode e não pode fazer no home office

Esclarecer os limites de atuação da empresa no ambiente remoto é fundamental para manter a confiança e a conformidade legal.

A empresa PODE:

• Estabelecer diretrizes claras: definir e comunicar políticas sobre o uso de dispositivos corporativos e pessoais (BYOD), acesso a sistemas e tratamento de dados no ambiente remoto.
   
• Realizar monitoramento proporcional: acompanhar as atividades laborais de forma transparente e respeitosa, informando previamente os colaboradores sobre os métodos utilizados, garantindo que o monitoramento seja estritamente relacionado às atividades de trabalho e não invada a esfera pessoal.
   
• Exigir medidas de segurança: solicitar que os funcionários adotem práticas como o uso de senhas fortes, autenticação em dois fatores, criptografia de dados e atualização regular de softwares.
   
• Auditar sistemas e acessos: realizar auditorias periódicas nos sistemas e registros de acesso para identificar vulnerabilidades e garantir a conformidade com as políticas de segurança.

A empresa NÃO PODE:

• Invadir a privacidade do colaborador: implementar monitoramento excessivo ou sem consentimento claro, como gravação contínua de telas, acesso a arquivos pessoais em dispositivos não corporativos, ou uso de câmeras sem justificativa adequada e transparente.
   
• Negligenciar a proteção de dados: deixar de fornecer orientações, ferramentas e recursos necessários para que os colaboradores protejam as informações pessoais tratadas no desempenho de suas funções. A responsabilidade é compartilhada.
   
• Transferir integralmente a responsabilidade: atribuir exclusivamente aos funcionários a obrigação de garantir a segurança dos dados, sem oferecer o suporte, treinamento ou recursos tecnológicos adequados para tal.
   
• Acessar dados pessoais sem base legal: acessar ou tratar dados pessoais do colaborador (que não sejam estritamente necessários para o contrato de trabalho ou por obrigação legal) sem uma base legal clara e legítima, como consentimento específico ou cumprimento de dever legal.

Boas práticas para fortalecer a cultura de privacidade

Além das responsabilidades básicas, a adoção de boas práticas eleva o nível de segurança e consolida uma cultura de privacidade:

1. Mapeamento de dados (Data Mapping): identificar quais dados pessoais são tratados (coletados, armazenados, processados), por quem, onde estão, por que estão sendo tratados e com qual finalidade. Isso facilita a implementação de medidas de proteção adequadas e a conformidade.
    
2. Políticas de BYOD (Bring Your Own Device): se a empresa permitir o uso de dispositivos pessoais, é crucial estabelecer regras claras para seu uso no trabalho, garantindo que atendam aos requisitos de segurança da empresa, como instalação de softwares de segurança e gerenciamento remoto.
    
3. Auditorias regulares e testes de penetração: realizar verificações e testes periódicos para identificar e corrigir possíveis vulnerabilidades nos processos de tratamento de dados e nos sistemas de segurança, garantindo a integridade mesmo contra ataques.
    
4. Nomeação de um encarregado de dados (DPO): designar um profissional responsável por supervisionar todas as práticas de proteção de dados, atuar como ponto de contato com a Autoridade Nacional de Proteção de Dados (ANPD) e ser o elo entre a empresa, os titulares dos dados e a autoridade.
    
5. Plano de resposta a incidentes: ter um plano claro e bem divulgado para lidar com eventuais incidentes de segurança, incluindo a detecção, contenção, erradicação, recuperação e comunicação às autoridades e aos titulares dos dados.

Mantendo o home office no caminho certo

A implementação do trabalho remoto exige uma abordagem cuidadosa e estratégica para garantir a proteção de dados pessoais, conforme estabelecido pela LGPD. Empresas e colaboradores devem atuar conjuntamente, adotando práticas que assegurem a privacidade e a segurança das informações, evitando riscos jurídicos e fortalecendo a cultura de privacidade organizacional.

Ao seguir as responsabilidades e boas práticas delineadas, é possível construir um ambiente de trabalho remoto seguro, produtivo e em plena conformidade com a legislação vigente. O investimento em segurança da informação e privacidade no home office não é um custo, mas um pilar estratégico para a sustentabilidade e a reputação da empresa no cenário atual.

Privacidade, confiança e bem-estar caminham juntos no trabalho remoto. Quando a empresa cuida da segurança dos dados, ela também protege as pessoas, a cultura e a reputação do negócio. Soluções de benefícios e gestão, como o iFood Benefícios, ajudam o RH a estruturar políticas mais responsáveis, transparentes e alinhadas às novas formas de trabalhar.

No Acrescenta, a conversa vai além da lei. Aqui, temas como LGPD, trabalho remoto e gestão de pessoas ganham contexto prático para apoiar decisões mais conscientes no dia a dia do RH e da liderança.