Por João Lucas Sacchi de Oliveira, consultor do escritório Filhorini Advogados Associados

Em artigo anterior publicado na EXAME, vimos que o crime de stalking consiste em perseguir pessoa específica, de forma intencional e repetida, caracterizando habitualidade, mediante atos que ameacem a vítima, restrinjam sua privacidade e liberdade pessoal, e acarretem danos físicos ou psicológicos e emocionais. Esse crime, a depender da situação, pode envolver a empresa, a ponto de esta sofrer impactos patrimoniais e de imagem.

• Quer deixar de ser funcionário e começar a empreender? Encurte caminhos com o curso Inovação na Prática

Tal crime é praticado de variadas formas e com diferentes fins, seja o crime de invasão de sistema digital, para espionagem, seja para invasão de privacidade, ou até para fins ainda mais danosos, como no cyberstalking. O que há de comum em todas essas possibilidades ilícitas é o acesso a dados como meio viabilizador para perpetração de fins ilícitos. No caso do stalker, para lhe possibilitar acesso à vítima da perseguição.

Compliance digital como aliado no combate ao stalking

Isso ilustra que, no mundo conectado de hoje, embora os dados tenham se tornado um ativo importante, se não crucial ao sucesso da operação, quando o seu detentor permite que sejam mal utilizados ou empregados para fins ilícitos, esse importante ativo pode transformar-se em um grande passivo, ao impactar financeira e moralmente a vida dos seus titulares.

Por isso, uma empresa cuja operação, além de dados próprios, os quais a perda ou violação já constitui um risco grave, valha-se também de dados de terceiros, a exemplo de clientes e sócios, deve se acautelar de forma redobrada, particularmente quando se tratar de dados pessoais sensíveis.

O compartilhamento de dados, normalmente feito para fins diretamente ligados à operação da empresa, acresce riscos substanciais àqueles internos, na medida em que aumentam as oportunidades de que sejam mal utilizados ou utilizados ilegitimamente.

Uma empresa pode combater crimes como o stalking e ao mesmo tempo reduzir seu risco de incorrer em danos econômicos e de reputação, mediante a implantação de compliance digital (conformidade digital), comprometendo-se com as boas práticas, as regras, procedimentos e métodos aplicáveis ao ambiente virtual e suas tecnologias.

Isso significa ir além dos preceitos da Lei Geral de Proteção de Dados e do Marco Civil da Internet, implica mapear riscos, treinar pessoal, investir em tecnologia, desenhar e implantar políticas de segurança da informação e privacidade e armazenamento de dados, com auditorias periódicas e investigação preventiva de qualquer indício de ato ilegal.

Adoção do Privacy by Design

Além de mitigar riscos, essa implantação pode se tornar um diferencial da empresa, uma vez que ataques cibernéticos são cada vez mais frequentes, tornando crescente a exigência por empresas com boa governança corporativa, social e ambiental (ESG, do inglês ?environmental, social and corporate governance?).

Um meio de combater crimes como o stalking é a adoção do ?Privacy by Design?. Em português, significa algo como privacidade desde a concepção. Originalmente, é uma abordagem de engenharia de sistemas que leva em conta a privacidade durante todo o processo de construção do software, porém, ela seria de utilidade limitada se não compreendesse também produtos, processos, práticas, serviços, tecnologias, infraestruturas, enfim, qualquer ecossistema que use informação.

Em última análise é uma verdadeira filosofia que visa a incorporação de proteção de dados e de privacidade de indivíduos em todo e qualquer projeto desenvolvido pela empresa, desde sua concepção. É um conceito sensível aos valores humanos e todas as suas derivações em todo o processo de construção, implantação e operação dos sistemas.

Dentre os princípios dessa metodologia, alguns são especiais para o tema do stalking:

• postura proativa voltada à prevenção de incidentes de privacidade;
• privacidade enquanto padrão para finalidade do tratamento de dados, coleta, uso, retenção, divulgação, e descarte seguro de dados;
• funcionalidade do projeto, que abarque tanto privacidade, quanto outros objetivos legítimos da empresa;
• medidas de segurança durante o ciclo de vida do dado, garantindo confidencialidade, integridade e disponibilidade do dado;
• transparência da empresa sobre políticas e práticas relacionadas à privacidade e adoção de mecanismos de compliance para monitorar seu cumprimento; e
• autodeterminação informativa de titulares de dados como combate a abusos de privacidade e a mau uso de dados.

Essa abordagem alinha compliance digital com a LGPD, cujo artigo 46, estabelece que os ?agentes de tratamento devem adotar medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito?.

Para a prevenção de crimes como o stalking, esse risco deve ser considerado desde o início e a empresa deve incorporá-lo como seu próprio, desde o momento de seu desenho. Isso importa questionar quais são os dados efetivamente necessários à operação, mantendo-os no mínimo, quem necessita ter acesso a eles, em que extensão e forma e garantir que o sistema registrará detalhadamente cada acesso à base de dados.

Um exemplo disso seria não conceder acesso de alguém da produção, que somente deve ter conhecimento do produto a ser produzido, mas não a dados do adquirente. Na máxima medida do possível, os dados devem ter a anonimização como princípio orientador de exibição em consultas.

É prática recorrente do stalker e outros criminosos digitais o chamado ?function creep?, que consiste em desvirtuar o propósito de uma ferramenta tecnológica, subvertendo-o para satisfação de fins ilegítimos.

Foco deve ser em privacidade

O sistema todo deve ser pensado com foco em privacidade, desde como se dará a coleta do dado, o seu tratamento, e a sua segurança, até a cuidadosa escolha das pessoas que poderão ter acesso aos dados e seu treinamento ? para que, por exemplo, não deixem o sistema aberto quando ausentes ou não forneçam dados para quem não esteja autorizado, mesmo que da mesma empresa e tenha cargo hierarquicamente superior. O tratamento e armazenamento físico desses dados devem ser criptografados, e os equipamentos devem estar em local protegido, com acesso controlado.

A inobservância de políticas no trato de dados, seja por empregados, colaboradores, clientes, entre outros, deve necessariamente ser registrada sempre que ocorra, avaliada quanto à frequência e gravidade do resultado produzido e potencial. O descumprimento deve ser sancionado com advertências e até punições.

Todos os contratos da empresa com empregados e terceiros devem prever disposições adequadas tratando dessa matéria, prevendo a obrigação de observar as normas de compliance, de colaborar em auditorias e investigações, inclusive fornecendo evidências a que tenha acesso, e a possibilidade de rescisão em decorrência de descumprimento.

A definição de uma política de governança da informação é essencial, com a elaboração e atualização constante de um relatório de impacto a direitos fundamentais, que mapeie os riscos da atividade empresarial não apenas aos dados, mas também aos seus titulares, qualitativamente.

Esse relatório deve ser atualizado, permanentemente, com a informação advinda da verificação sistemática de pontos fracos nos sistemas de segurança e formas de aprimoramento.

Conduta ética

O compliance digital, sob o ?Privacy By Design?, exige uma conduta ética em relação ao tratamento de dados. Essa conduta ética deve ser implementada não apenas internamente, mas também cobrada em face de terceiros com quem a empresa vier a interagir, notadamente, parceiros comerciais, franqueados e, particularmente, prestadores de serviço de tratamento de dados, que devem submeter-se a regras tão ou mais exigentes.

É muito importante, nessa filosofia, e peça-chave no enfrentamento desse crime, a existência de um canal de denúncias sigiloso para que qualquer pessoa, especialmente, os titulares dos dados, possa informar aos administradores do sistema ter razões para acreditar que seus dados tenham sido vazados e, mesmo, a possível ocorrência de um crime, inclusive como retroalimentação para o processo de auditoria e de revisão permanente do relatório de impacto e dos procedimentos ali previstos.

Por fim, é esperado que a ANPD eventualmente publique diretrizes regulatórias com orientações de proteção de dados com relação a crimes como stalking. Apesar disso, o acatamento de nenhuma das medidas será perdida ou desperdiçada no futuro, visto que o compliance digital é um construir e aperfeiçoar permanente, pela própria natureza da tecnologia digital.

Tem dúvidas sobre como administrar a sua pequena empresa? Assine a EXAME e tenha acesso a conteúdos semanais sobre o assunto.