A SEGURANÇA DA INFORMAÇÃO E A PROTEÇÃO DE DADOS NO TELETRABALHO: O PAPEL FUNDAMENTAL DA GOVERNANÇA

A SEGURANÇA DA INFORMAÇÃO E A PROTEÇÃO DE DADOS NO TELETRABALHO: O PAPEL FUNDAMENTAL DA GOVERNANÇA

Thaís Magrini Schiavon[1]

Izabella Romero Pacheco[2]

INTRODUÇÃO

Desde o advento das novas tecnologias e da Internet das Coisas, vistas como um novo marco na história da humanidade - comparada até ao surgimento da eletricidade[3]-, previa-se que em breve nossa vida cotidiana iria se adaptar integralmente à esfera digital, inaugurando a chamada economia digital[4].

Apesar de todas estas previsões futuristas, ninguém poderia prever que uma pandemia mundial causada por um vírus extremamente contagioso poderia acelerar tão drasticamente esta mudança na economia e nos negócios, como a que aconteceu com o surgimento do Coronavírus[5].

Para conter a transmissão, vários países, inclusive o Brasil, adotaram o isolamento social e impuseram o fechamento, ainda que temporário, de empresas e indústrias, obrigando a adaptação abrupta de negócios para o meio digital, o que tende a permanecer mesmo pós-pandemia, ao que se destaca o protagonismo da União 

Europeia[6]para acelerar a transformação da sua economia para esta nova realidade.

Essa migração, contudo, não vem à mercê de diversos obstáculos que deverão ser enfrentados pelos gestores para garantir que, não só o teletrabalho seja viável, mas que também haja a preservação da segurança da informação e a proteção dos dados dos clientes que serão manuseados in-house pelos colaboradores.

Afora isso, a opção mais viável para as empresas possibilitarem o acesso remoto do sistema interno pelos seus colaboradores, e até para preservar a segurança contra eventuais ataques de hackers em seus servidores físicos, pelo menos até o presente momento, é de se valer da computação em nuvem, cuja responsabilidade dos provedores em caso de eventual vazamento de dados ainda é discutível, assim como a hegemonia dos líderes mundiais deste segmento, que impossibilitam que novos atores tenham força para emergir e concorrer consigo em pé de igualdade.

De toda sorte, o que se verifica é que será a governança quem desempenhará um papel essencial na estruturação e implementação de estratégias para uma rápida, efetiva e eficaz proteção das informações e a preservação da segurança das empresas.

Desta feita, pretende-se a análise destes aspectos que afetam diretamente à consolidação do teletrabalho como meio principal em alguns segmentos econômicos, especialmente no que tange a segurança da informação e a proteção de dados.

ASPECTOS SOCIAIS E TÉCNICOS QUE INFLUEM DIRETAMENTE NA SEGURANÇA DA INFORMAÇÃO

Primariamente à adaptação ou manutenção do funcionamento das empresas em meio digital, é necessário observar a efetiva viabilidade de se optar por ele, não somente pela ótica do cerne do negócio, mas também sob a perspectiva do colaborador, que, ao fim e ao cabo, é a força-motriz que a sustenta.

Segundo a perspectiva da Organização Internacional do Trabalho[7], apenas 15 a 18% dos trabalhadores que estavam empregados no início da pandemia do Coronavírus poderão se adaptar de forma segura ao teletrabalho, seja em razão de suas próprias ocupações ou por questões ligadas diretamente à infraestrutura.

No Brasil, especificamente, verifica-se que atualmente há pouco menos de 33 milhões de pontos de acesso de banda larga fixa registrados na ANATEL[8], cuja densidade (acessos a cada 100 domicílios) atinge no Sudeste 60,9% das residências - em detrimento dos 24,5% da região Norte -, o que leva à conclusão de que ainda muitas casas não têm internet a cabo no país.

Tais dados acabam sendo justificados e corroborados aos fornecidos na Pesquisa Nacional por Amostra de Domicílios Contínua (PNAD), elaborada pelo IBGE no ano de 2018[9], que indicam que apenas 48,1% da população brasileira tem um microcomputador em casa, um declínio com relação ao ano anterior, que era de 52,4%; estas questões, inevitavelmente limitam o exercício do ofício pelo colaborador via remota.

Neste sentido, salvo disposição em contrário via contrato escrito[10], quando o empregado não tem esses equipamentos em casa, via de regra, incumbe ao empregador  o dever dar todo o suporte e as ferramentas que visem facilitar e viabilizar a realização das atividades via remota[11], o que pode, dentro de uma razoabilidade e proporcionalidade, permitir que haja a adoção de mecanismos que bloqueiem o acesso de pessoas estranhas à relação laboral, por meio de senha pessoal, assim como pelo uso de antivírus específico e manutenções técnicas periódicas pela própria equipe de tecnologia da informação da empresa, como se o equipamento na empresa estivesse.

Apesar desta possibilidade, é importante ponderar que, mesmo em residências em que há a disponibilidade de um microcomputador, é extremamente comum que ele seja compartilhado com outras pessoas que residem na mesma casa, o que acaba por gerar novos desafios à segurança das redes das empresas, que deverão estar preparadas para eventuais ataques virtuais advindos do acesso de terceiros, ou do próprio colaborador, no equipamento domiciliar em que a rede empresarial esteja conectada, já que há limitação[12]da interferência do empregador na esfera privada do seu empregado.

Independentemente da propriedade do equipamento, para que haja a implantação do teletrabalho de forma definitiva pelas empresas, ainda que em sistema rotativo, é imprescindível que sejam realizados treinamentos periódicos[13] sobre segurança da informação aos empregados, a fim de informá-los sobre as medidas que devem ser tomadas na utilização da rede empresarial em ambiente doméstico, inclusive pelo fato de que, a princípio, a responsabilidade frente ao terceiro prejudicado será da própria empresa[14].

Outro aspecto a ser considerado é que a grande maioria das empresas, inclusive na União Europeia que é vanguardista em matéria de proteção de dados[15], ainda armazenam os seus dados e têm suas redes conectadas em servidores físicos e centralizados, o que os torna ainda mais suscetíveis à ataques cibernéticos.

Uma das alternativas para alterar essa realidade e possibilitar a adoção do teletrabalho, por exemplo, é a utilização de soluções de VPN (Virtual Private Network, ou, em português, Rede Privada Virtual)[16], ou seja, a construção de um canal privado na rede de internet que garanta a privacidade dos dados trocados naquele meio, ao qual somente terão acesso os colaboradores autorizados pela própria empresa, mediante uma intranet, com proteção criptográfica, e senha pessoal.

Parcela do Judiciário Brasileiro aderiu a esta solução durante o período do isolamento social[17], porém há relatos de que a segurança destas portas privadas é frágil[18], de modo que não se mostra ser uma opção escalável e vantajosa a médio e longo prazos.

Outra alternativa, e que é a que tem tido maior adesão nos últimos anos, é a migração dos dados armazenados em servidores físicos para computação em nuvem (em inglês, cloud computing), que nada mais é do que o armazenamento das informações em um sistema totalmente on-line, normalmente mediante terceirização do gerenciamento da infraestrutura necessária para sua manutenção (hardware, software, suporte e segurança) para provedores especializados, ao que se destaca a verdadeira hegemonia[19] de empresas como Amazon e Microsoft no segmento.

Ainda que a computação em nuvem se mostre uma alternativa interessante para viabilizar o trabalho remoto, em especial financeiramente[20] para as empresas, é importante enfatizar que a ausência de regulamentação específica que restrinja a ação desenfreada das grandes companhias de tecnologia que armazenam e gerem essa grande quantidade de dados, considerados o novo petróleo[21], pode pôr em risco a confidencialidade destas informações.

Essas questões estão sendo ponderadas pela União Europeia, que sinalizou que até o segundo trimestre de 2022 criará uma espécie de "manual de uso"[22], para estabelecer estandartes que deverão ser seguidos pelas empresas do segmento que operarem em solo europeu ou com empresas europeias, além de ter indicado que fará a atualização das leis comunitárias ao contexto digital para fins de ajustá-las a esta nova realidade[23].

De todo modo, o gestor da empresa e a equipe de segurança da informação deverão, juntos, alinhar as estratégias que tecnicamente se adequam melhor à realidade da empresa e dos dados que são por ela processados para efetuar a escolha de uma dentre as diversas alternativas, inclusive além das que foram aqui destrinchadas[24], que proporcionarão a melhor adaptação da estrutura da empresa para o digital.

COMPLIANCE E GOVERNANÇA: A CHAVE FUNDAMENTAL NA SEGURANÇA DA INFORMAÇÃO E DA PROTEÇÃO DE DADOS

Superadas as questões sociais e técnicas que devem ser levadas em consideração pelo gestor quando da migração de sua estrutura para o meio digital, é imprescindível que, ainda que se opte por contratar um provedor terceirizado, a empresa preserve a sua própria estrutura de segurança da informação interna e mantenha as rotinas de prevenção a ataques cibernéticos - ou as crie, caso ainda não as tenha.

Isso porque, ainda que com o advento da Lei Geral de Proteção de Dados (LGPD)[25], cujo principal objetivo é regulamentar o tratamento de dados pessoais de todos os indivíduos, assegurando-lhes à proteção da liberdade, privacidade e intimidade[26], concedendo aos titulares de tais dados a coleta e utilização com transparência e segurança, eventual responsabilidade civil dos provedores terceirizados, com quem os dados estejam sob guarda e venham a ser expostos por ataques de hackers, ainda é discutível.

Em tese, poderia ser entendido que estes provedores teriam responsabilidade direta sobre os danos causados aos titulares dos dados expostos, por culpa in vigilando, nos termos do artigo 186 combinado ao artigo 931 do Código Civil[27], porque teriam um dever legal de, em virtude do produto por ele desenvolvido e mantido, assegurar a inviolabilidade de seu sistema e impedir que o vazamento tivesse acontecido.

Nessa lógica, a aplicação das penalidades pecuniárias impostas pela LGPD, por exemplo, à eles se imporia, pois seriam caracterizados como controladores dos dados, ou seja, "a quem compete as decisões referentes ao tratamento de dados pessoais", que abrange, para fins de aplicação da Lei, "toda operação realizada com dados pessoais, como as que se referem a coleta, produção, recepção, classificação, utilização, acesso, reprodução, transmissão,distribuição, processamento, arquivamento, armazenamento, eliminação, avaliação ou controle da informação, modificação, comunicação, transferência, difusão ou extração;" [grifos nossos][28].

Contudo, diante da previsão do artigo 18 do Marco Civil da Internet[29], que isenta os provedores de responsabilidade, salvo em caso de descumprimento de ordem judicial[30], esta discussão ganha outro expoente, amplificando as interpretações possíveis à luz do ordenamento jurídico pátrio.

Como a LGPD ainda não está em vigor e questões como essas ainda não foram postas em questionamento perante o Poder Judiciário, não é possível afirmar ao certo qual será o entendimento adotado e como será interpretada a responsabilidade das empresas que contratam esses provedores sobre os possíveis e eventuais danos causados por falhas de segurança que acarretem, neste caso, a violação da proteção dos dados.

Neste sentido, antes que essa questão venha a ser posta à prova, é imprescindível, principalmente para as empresas que estão adotando o teletrabalho, que seja estruturada uma governança interna[31] que possibilite, de antemão, prevenir estes possíveis ataques cibernéticos e falhas de segurança, resguardando desde logo os dados pessoais dos colaboradores e parceiros negociais, através da elevação do padrão comportamental ético.

O sucesso do planejamento, ou seja, do plano de Compliance e Governança está totalmente ligado ao mapeamento dos riscos - risk assessment - que envolvem o negócio, e neste caso em específico, à tecnologia empregada para desempenho das atividades empresariais pelos colaboradores em regime de teletrabalho.

Para ilustrar melhor o que quer dizer o gerenciamento de risco, toma-se o conceito trazido pela ISO31000:2018[32], uma das principais normas no tocante à gestão de riscos, qual seja: "o conjunto de componentes que fornecem as fundações (politica, objetivos, mandato e comprometimento para administrar o risco) e os arranjos organizacionais (planos, relações, responsabilidades, recursos, processos e atividades) por desenhar, implementar, monitorar, revisar e melhorar continuamente as atividades coordenadas para direcionar e controlar uma organização no que refere a riscos."

Não por acaso, a LGPD previu a necessidade de ser implantado um programa de governança em privacidade nas empresas[33], que demonstre que ela está preocupada com a adoção de processos e de políticas internas que efetivem o cumprimento das regras ali dispostas, sob pena de ser-lhe aplicada multa[34].

Neste contexto, o papel de dois profissionais é de extrema importância para que este programa seja estabelecido de forma completa dentro da estrutura organizacional das empresas: o do Data Protection Officer (DPO) e do Chief Information Security Officer (CISO).

Apesar de ambos exercerem funções similares e complementares[35] dentro da empresa, eles se diferenciam pelas suas atividades. De um lado, o DPO[36]é munido de técnica legal direcionada à resolução de questões relacionadas exclusivamente à proteção dos dados, se reportando com exclusividade ao mais alto cargo gerencial da empresa e com poderes investigativos independentes; doutro lado, o CISO é o chefe da equipe de tecnologia da informação da empresa, e que será o responsável por garantir que tecnicamente a empresa esteja munida contra ataques cibernéticos e vazamento de dados.

Com o advento da figura do DPO em virtude da LGPD, o CISO acabou por ter suas atribuições modificadas para se centrar na implementação de novas tecnologias e no desenvolvimento de novos produtos que assegurem a segurança das informações tratadas pela empresa, ao passo que o DPO se tornou o responsável por todo o planejamento de governança da empresa, notadamente no mapeamento dos riscos e na implementação de normativas internas que deverão ser observadas pelos colaboradores, inclusive os que exercem o ofício via remota, pois devem agir em suas casas com as mesmas (ou até mais) precauções do que se na sede da empresa estivessem.

Cumpre ponderar que nem todas as empresas têm condições financeiras para contratar, com exclusividade e vínculo empregatício, duas pessoas distintas para exercer tais papeis isoladamente; contudo, até o presente momento[37] não nada que impeça que seja firmado um contrato individual com um DPO externo à empresa para desempenhar essa função.

De toda sorte, para que se possibilite uma resposta imediata e eficaz às situações que possam vir a ser enfrentadas pela empresa no tocante à falhas na segurança da informação e na proteção de dados, será imprescindível o investimento em uma governança que estabeleça não só uma política de segurança e o mapeamento das vulnerabilidades, como também conscientize os empregados sobre a importância de cumprir com as diretrizes, de modo que a implementação do teletrabalho não apresente mais riscos do que vantagens à empresa.

REFERÊNCIAS BIBLIOGRÁFICAS

BRASIL. AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Dados Abertos. Banda Larga Fixa (Serviço de Comunicação de Multimídia - SCM). Abril, 2020. Disponível em: <https://www.anatel.gov.br/paineis/acessos/banda-larga-fixa>. Acesso em 12 jun. 2020.

BRASIL. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000:2018 - Gestão de Riscos - Princípios e Diretrizes. Primeira Edição: 30.11.2009. Data de Publicação: 28.03.2018.

BRASIL. COMISSÃO DE VALORES MOBILIÁRIOS. Relatório Geral de Acompanhamento. Experiência-piloto de Teletrabalho na CVM. Período de Referência 3º Trimestre de 2019. Disponível em: <http://www.cvm.gov.br/export/sites/cvm/menu/acesso_informacao/servidores/teletrabalho/anexos/relatorio_acompanhamento_teletrabalho_cvm_3o_trimestre_2019.pdf>. Acesso em 12 jun. 2020.

BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/ConstituicaoCompilado.htm>. Acesso em 12 jun. 2020.

BRASIL. Decreto-lei nº 5.452, de 1º de maio de 1943. Aprova a Consolidação das Leis do Trabalho. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm>. Acesso em 10 jun. 2020.

BRASIL. INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. DIRETORIA DE PESQUISAS. PESQUISA NACIONAL POR AMOSTRA DE DOMICÍLIOS CONTÍNUA 2017-2018. Acesso à Internet e à Televisão e Posse De Telefone Móvel Celular Para Uso Pessoal 2018. IBGE: Rio de Janeiro, 2020. Disponível em: <https://biblioteca.ibge.gov.br/index.php/biblioteca-catalogo?view=detalhes&id=2101705>. Acesso em 12 jun. 2020.

BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. DOU de 11.01.2002. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm>. Acesso em 12 jun 2020.

BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. DOU 24.04.2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 12 jun. 2020.

BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.

BRASIL. Medida Provisória Nº 927, de 22 de março de 2020. Dispõe sobre as medidas trabalhistas para enfrentamento do estado de calamidade pública reconhecido pelo Decreto Legislativo nº 6, de 20 de março de 2020, e da emergência de saúde pública de importância internacional decorrente do coronavírus (covid-19), e dá outras providências. DOU de 22.3.2020 - Edição extra. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv927.htm>. Acesso em 12 jun. 2020.

EUROPEAN UNION. EUROSTAT. Digital economy and Society statistics - enterprises. May, 2019. Disponível em: <https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Digital_economy_and_society_statistics_-_enterprises>. Acesso em 12 jun. 2020.

EUROPEAN UNION. REGULATION (EC) No 45/2001 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data. Disponível em: <https://edps.europa.eu/sites/edp/files/publication/reg_45-2001_en.pdf>. Acesso em 12 jun. 2020.

INTERNATIONAL LABOR ORGANIZATION. Preventing exclusion from the labour market: Tackling the COVID-19 youth employment crisis. May, 2020. Disponível em: <https://www.ilo.org/wcmsp5/groups/public/---ed_emp/documents/publication/wcms_746031.pdf>. Acesso em 12 jun. 2020.

MIRANDA, Ivana Cardial de. VPN - Virtual Private Network. Grupo de Teleinformática e Automação da Universidade Federal do Rio de Janeiro (GTA/UFRJ). Disponível em: < https://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/>. Acesso em 12 jun .2020.

ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. The Internet of Things: seizing the benefits and addressing the challenges. 2016 Ministerial Meeting on the Digital Economy. Background Report. Disponível em: <https://www.oecd-ilibrary.org/docserver/5jlwvzz8td0n-en.pdf?expires=1592168180&id=id&accname=guest&checksum=8FF1CC2D52A7E4F1EDC6024D545FC1EB>. Acesso em 12 jun. 2020.

PARKINS, David. The world’s most valuable resource is no longer oil, but data. The Economist. May, 6th, 2017. Disponível em: <https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data>. Acesso em 12 jun. 2020.

RICHTER, Felix. Amazon Leads $100 Billion Cloud Market. Statista. February, 11, 2020. Disponível em: <https://www.statista.com/chart/18819/worldwide-market-share-of-leading-cloud-infrastructure-service-providers/>. Acesso em 12 jun. 2020.

SWINHOE, Dan. How CISOs and data privacy officers should work together. CSO Online. March, 25, 2020. Disponível em: <https://www.csoonline.com/article/3532490/how-cisos-and-data-privacy-officers-should-work-together.html>. Acesso em 12 jun. 2020.

TAPSCOTT, Don. The Digital Economy: Promise and Peril in the Age of Networked Intelligence. Mc Graw-Hill: New York, 1996.

UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma nova estratégia industrial para a Europa. COM/2020/102 Final. Bruxelas, 10 de março de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1591984373469&uri=CELEX:52020DC0102>. Acesso em 12 jun. 2020.

UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma estratégia europeia para os dados. COM(2020) 66 final. Bruxelas, 19 de fevereiro de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN>. Acesso em 12 jun. 2020.

WORLD HEALTH ORGANIZATION. WHO Director-General's opening remarks at the media briefing on COVID-19 - 11 March 2020. Disponível em: <https://www.who.int/dg/speeches/detail/who-director-general-s-opening-remarks-at-the-media-briefing-on-covid-19---11-march-2020>. Acesso em 12 jun. 2020.

[1] Advogada do Bega, Sbrissia & Alarcão Advogados - Curitiba/PR. Especialista em Direito Internacional pelo CEDIN, com formação em Negociação Internacional pelo Centro Avançado de Negociação Internacional do Instituto das Relações Internacionais da Universidade de São Paulo (CAENI/IRI-USP), e em Arbitragem Comercial e de Investimentos pela Universidad Complutense de Madrid (Espanha). Bacharel; em Direito pela Universidade Estadual do Oeste do Paraná (UNIOESTE). Secretária-Geral da Comissão da Mulher Advogada da Seccional da OAB do Paraná; membro das Comissões de Direito Internacional e de Gestão e Inovação da Seccional da OAB do Paraná; membro da Coordenação Nacional das Relações Brasil-China do Conselho Federal da OAB. E-mail: [email protected]/[email protected].

[2] Sócia e Coordenadora da Área Cível e Consumidor da Sociedade Bega, Sbrissia & Alarcão Advogados - Curitiba/PR. Especialista em Processo Civil pelo Instituto de Direito Romeu Felipe Bacelar, Aperfeiçoamento em Direito Lato Sensu pela Escola da Magistratura do Estado do Paraná, Especialista em Direito de Família pela UNICURITIBA, Bacharel em Direito pela UNICURITIBA. E-mail: [email protected].

[3] "The Internet of Things (IoT) could soon be as commonplace as electricity in the everyday lives of people in OECD countries. As such, it will play a fundamental role in economic and social development in ways that would have been challenging to predict as recently as two or three decades ago". ORGANISATION FOR ECONOMIC CO-OPERATION AND DEVELOPMENT. The Internet of Things: seizing the benefits and addressing the challenges. 2016 Ministerial Meeting on the Digital Economy. Background Report. Disponível em: <https://www.oecd-ilibrary.org/docserver/5jlwvzz8td0n-en.pdf?expires=1592168180&id=id&accname=guest&checksum=8FF1CC2D52A7E4F1EDC6024D545FC1EB>. Acesso em 12 jun. 2020.

[4] Termo inaugurado por Don Tapscott em seu livro "The Digital Economy: Promise and Peril in the Age of Networked Intelligence". Mc Graw-Hill: New York, 1996. Segundo ele, "In the new economy, information in all its forms becomes digital - reduced to bits stored in computers and racing at the speed of light across networks".

[5] Caracterizada desta forma pela Organização Mundial da Saúde em 11 de Março de 2020. Vide: WORLD HEALTH ORGANIZATION. WHO Director-General's opening remarks at the media briefing on COVID-19 - 11 March 2020. Disponível em: <https://www.who.int/dg/speeches/detail/who-director-general-s-opening-remarks-at-the-media-briefing-on-covid-19---11-march-2020>. Acesso em 12 jun. 2020.

[6] "As empresas industriais mais consolidadas podem receber ajuda de PME jovens e com grande domínio da tecnologia, que são cada vez mais numerosas, para adaptarem os seus modelos de negócio e desenvolverem novas formas de trabalho para a era digital. Daqui já resultaram novas oportunidades e as startups devem ser apoiadas de modo a contribuírem para a construção da economia das plataformas. Todavia, as novas formas de trabalho devem ser acompanhadas por formas modernas e melhoradas de proteção, incluindo para quem trabalha em plataformas em linha". UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma nova estratégia industrial para a Europa. COM/2020/102 Final. Bruxelas, 10 de março de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1591984373469&uri=CELEX:52020DC0102>. Acesso em 12 jun. 2020.

[7] "Digitalisation has accelerated both the automation of work, which eliminates or changes job functions, and the creation of work via digital platforms. The pandemic induced economic downturn may serve to accelerate automation, […] The COVID-19 crisis has further stimulated debates around the platform economy, though it represents only a modest (but growing) share of youth employment, and teleworking, which is not feasible for all workers and occupations. Prior to the COVID-19 pandemic, most teleworking was occasional, with just a small percentage of workers, mostly mid-life professionals and managers with a high level of responsibility that teleworked. The ILO estimates that only between 15 to 18 per cent of workers globally are employed in occupations and live in countries where the necessary infrastructure allows them to effectively perform their work from home". INTERNATIONAL LABOR ORGANIZATION. Preventing exclusion from the labour market: Tackling the COVID-19 youth employment crisis. May, 2020. Disponível em: <https://www.ilo.org/wcmsp5/groups/public/---ed_emp/documents/publication/wcms_746031.pdf>. Acesso em 12 jun. 2020.

[8] BRASIL. AGÊNCIA NACIONAL DE TELECOMUNICAÇÕES. Dados Abertos. Banda Larga Fixa (Serviço de Comunicação de Multimídia - SCM). Abril, 2020. Disponível em: <https://www.anatel.gov.br/paineis/acessos/banda-larga-fixa>. Acesso em 12 jun. 2020.

[9] BRASIL. INSTITUTO BRASILEIRO DE GEOGRAFIA E ESTATÍSTICA. DIRETORIA DE PESQUISAS. PESQUISA NACIONAL POR AMOSTRA DE DOMICÍLIOS CONTÍNUA 2017-2018. Acesso à Internet e à Televisão e Posse De Telefone Móvel Celular Para Uso Pessoal 2018. IBGE: Rio de Janeiro, 2020. Disponível em: <https://biblioteca.ibge.gov.br/index.php/biblioteca-catalogo?view=detalhes&id=2101705>. Acesso em 12 jun. 2020.

[10] "Art. 75-D.  As disposições relativas à responsabilidade pela aquisição, manutenção ou fornecimento dos equipamentos tecnológicos e da infraestrutura necessária e adequada à prestação do trabalho remoto, bem como ao reembolso de despesas arcadas pelo empregado, serão previstas em contrato escrito". BRASIL. Decreto-lei nº 5.452, de 1º de maio de 1943. Aprova a Consolidação das Leis do Trabalho. Disponível em: <http://www.planalto.gov.br/ccivil_03/decreto-lei/del5452.htm>. Acesso em 10 jun. 2020.

[11] "Art. 4º  [...] § 4º  Na hipótese de o empregado não possuir os equipamentos tecnológicos e a infraestrutura necessária e adequada à prestação do teletrabalho, do trabalho remoto ou do trabalho a distância: I - o empregador poderá fornecer os equipamentos em regime de comodato e pagar por serviços de infraestrutura, que não caracterizarão verba de natureza salarial; [...]". BRASIL. Medida Provisória Nº 927, de 22 de março de 2020. Dispõe sobre as medidas trabalhistas para enfrentamento do estado de calamidade pública reconhecido pelo Decreto Legislativo nº 6, de 20 de março de 2020, e da emergência de saúde pública de importância internacional decorrente do coronavírus (covid-19), e dá outras providências. DOU de 22.3.2020 - Edição extra. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2019-2022/2020/Mpv/mpv927.htm>. Acesso em 12 jun. 2020.

[12] Incluindo, mas não só: "Art. 5º [...] X - são invioláveis a intimidade, a vida privada, a honra e a imagem das pessoas, assegurado o direito a indenização pelo dano material ou moral decorrente de sua violação;". BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/ConstituicaoCompilado.htm>. Acesso em 12 jun. 2020.

[13] Neste sentido, o Art. 50 da LGPD: "Art. 50. Os controladores e operadores, no âmbito de suas competências, pelo tratamento de dados pessoais, individualmente ou por meio de associações, poderão formular regras de boas práticas e de governança que estabeleçam as [...] as ações educativas, os mecanismos internos de supervisão e de mitigação de riscos e outros aspectos relacionados ao tratamento de dados pessoais". BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.

[14] Com relação a vazamento de dados armazenados em nuvem, a discussão muda um pouco de figura e será abordada mais pra frente. Contudo, a indagação proposta se refere a dispositivo do Código Civil, que dispõe: "Art. 932. São também responsáveis pela reparação civil: [...] III - o empregador ou comitente, por seus empregados, serviçais e prepostos, no exercício do trabalho que lhes competir, ou em razão dele;". BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. DOU de 11.01.2002. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm>. Acesso em 12 jun 2020.

[15] Em 2018, apenas 28% das empresas europeias declararam ter utilizado computação em nuvem, dentre as quais 68% e 48% das empresas afirmaram, respectivamente, se valer desta tecnologia para estocar arquivos e armazenar as suas bases de dados. Vide em: EUROPEAN UNION. EUROSTAT. Digital economy and Society statistics - enterprises. May, 2019. Disponível em: <https://ec.europa.eu/eurostat/statistics-explained/index.php?title=Digital_economy_and_society_statistics_-_enterprises>. Acesso em 12 jun. 2020.

[16] Para uma explicação acessível sobre o conceito de VPN, sugere-se a leitura de: MIRANDA, Ivana Cardial de. VPN - Virtual Private Network. Grupo de Teleinformática e Automação da Universidade Federal do Rio de Janeiro (GTA/UFRJ). Disponível em: < https://www.gta.ufrj.br/seminarios/semin2002_1/Ivana/>. Acesso em 12 jun .2020.

[17] São exemplos: Tribunal de Justiça de São Paulo, Tribunal de Justiça do Espírito Santo, Tribunal de Justiça do Rio Grande do Sul, Tribunal de Justiça da Bahia, Tribunal de Justiça de Santa Catarina, entre outros.

[18] Vide, por exemplo, relato da CVM, que tentou utilizar desta solução em uma experiência-piloto de teletrabalho: "Em uma das situações de Teletrabalho, o ambiente suportado pela VPN se mostrou menos eficaz do que aquele existente nas instalações da CVM". BRASIL. COMISSÃO DE VALORES MOBILIÁRIOS. Relatório Geral de Acompanhamento. Experiência-piloto de Teletrabalho na CVM. Período de Referência 3º Trimestre de 2019. Disponível em: <http://www.cvm.gov.br/export/sites/cvm/menu/acesso_informacao/servidores/teletrabalho/anexos/relatorio_acompanhamento_teletrabalho_cvm_3o_trimestre_2019.pdf>. Acesso em 12 jun. 2020.

[19] No quatro trimestre do ano de 2019, a Amazon detinha 33% do mercado de computação na nuvem, seguida pelos 18% da Microsoft e de 8% da Google. In: RICHTER, Felix. Amazon Leads $100 Billion Cloud Market. Statista. February, 11, 2020. Disponível em: <https://www.statista.com/chart/18819/worldwide-market-share-of-leading-cloud-infrastructure-service-providers/>. Acesso em 12 jun. 2020.

Esta hegemonia das grandes empresas de tecnologia sobre o mercado tem despertado atenção da União Europeia, que assinalou que: "A acumulação de quantidades consideráveis de dados por grandes empresas tecnológicas, o papel dos dados na criação ou no reforço de desequilíbrios no poder negocial e a forma como estas empresas utilizam e partilham os dados entre setores estão a ser analisados pelo Observatório da Economia das Plataformas em Linha. A questão não será abordada no âmbito do ato legislativo sobre os dados, mas sim num inquérito mais alargado em torno do elevado poder de mercado de certas plataformas e também no contexto do trabalho da Comissão sobre o pacote do ato legislativo sobre serviços digitais. Com base neste inquérito, a Comissão equacionará a melhor forma de abordar questões mais sistémicas relacionadas com as plataformas e os dados, incluindo, se for caso disso, uma regulamentação ex ante, a fim de assegurar que os mercados se mantenham abertos e justos." UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma estratégia europeia para os dados. COM(2020) 66 final. Bruxelas, 19 de fevereiro de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN>. Acesso em 12 jun. 2020.

[20] Considere que a contratação de serviços de computação na nuvem ofertados por estas grandes empresas de tecnologia, como geralmente é feito pela maioria dos contratantes, acarretará na terceirização não só da manutenção do gerenciamento da rede, como também dos custos para prover o armazenamento, segurança, hardware, softwaree suporte.

[21] Assim definido em reportagem do The Economist: PARKINS, David. The world’s most valuable resource is no longer oil, but data. The Economist. May, 6th, 2017. Disponível em: <https://www.economist.com/leaders/2017/05/06/the-worlds-most-valuable-resource-is-no-longer-oil-but-data>. Acesso em 12 jun. 2020.

[22] "Neste contexto, até ao segundo trimestre de 2022, a Comissão criará um quadro coerente em torno das distintas regras aplicáveis (incluindo de autorregulação) aos serviços de computação em nuvem, sob a forma de um «manual da nuvem» (cloud rulebook). Numa primeira fase, o manual da nuvem oferecerá um compêndio dos atuais códigos de conduta e certificação dos serviços de computação em nuvem em matéria de segurança, eficiência energética, qualidade do serviço, proteção de dados e portabilidade dos dados. No domínio da eficiência energética será ponderada a tomada de medidas precoces". UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma estratégia europeia para os dados. COM(2020) 66 final. Bruxelas, 19 de fevereiro de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN>. Acesso em 12 jun. 2020.

[23] "É igualmente necessário rever e atualizar a legislação relativa ao mercado único, para assegurar a sua adequação à era digital. Aqui se inclui a revisão das normas da UE em matéria de segurança dos produtos, a aplicação da estratégia europeia para os dados e a adoção do ato legislativo sobre os serviços digitais". UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma nova estratégia industrial para a Europa. COM/2020/102 Final. Bruxelas, 10 de março de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/?qid=1591984373469&uri=CELEX:52020DC0102>. Acesso em 12 jun. 2020.

[24] Ressalta-se por exemplo, a possibilidade de ser utilizada a tecnologia blockchain para assegurar a proteção da informação armazenada: "As novas tecnologias digitais descentralizadas, como a tecnologia de cadeia de blocos [blockchain], oferecem às pessoas e às empresas novas possibilidades de gestão e utilização dos fluxos de dados, com base na liberdade de escolha e na autodeterminação". UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma estratégia europeia para os dados. COM(2020) 66 final. Bruxelas, 19 de fevereiro de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN>. Acesso em 12 jun. 2020.

[25] Vide: BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.

[26] O que se coaduna com os princípios previstos na Constituição, notadamente os que se referem a privacidade e a inviolabilidade da intimidade, da honra e imagem (Art. 5º, X), a liberdade de expressão, informação e expressão(Art. 5º, IV e IX), o desenvolvimento econômico (Art. 3º, II), a livre iniciativa (Art. 1º, IV), livre concorrência (Art. 170, IV) e a defesa do consumidor (Art. 5º, XXXII), direitos humanos, desenvolvimento da personalidade (Art. 1º, III) e autodeterminação informativa (Art. 5º, XIV)..Vide: BRASIL. Constituição da República Federativa do Brasil de 1988. Disponível em: <http://www.planalto.gov.br/ccivil_03/constituicao/ConstituicaoCompilado.htm>. Acesso em 12 jun. 2020.

[27] "Art. 186. Aquele que, por ação ou omissão voluntária, negligência ou imprudência, violar direito e causar dano a outrem, ainda que exclusivamente moral, comete ato ilícito" e "Art. 931. Ressalvados outros casos previstos em lei especial, os empresários individuais e as empresas respondem independentemente de culpa pelos danos causados pelos produtos postos em circulação". BRASIL. Lei nº 10.406, de 10 de janeiro de 2002. Institui o Código Civil. DOU de 11.01.2002. Disponível em: <http://www.planalto.gov.br/ccivil_03/leis/2002/L10406compilada.htm>. Acesso em 12 jun 2020.

[28] Art. 5º, VI e X da LGPD. Vide: BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.

[29] "Art. 18. O provedor de conexão à internet não será responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros". BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. DOU 24.04.2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 12 jun. 2020.

[30] "Art. 19. Com o intuito de assegurar a liberdade de expressão e impedir a censura, o provedor de aplicações de internet somente poderá ser responsabilizado civilmente por danos decorrentes de conteúdo gerado por terceiros se, após ordem judicial específica, não tomar as providências para, no âmbito e nos limites técnicos do seu serviço e dentro do prazo assinalado, tornar indisponível o conteúdo apontado como infringente, ressalvadas as disposições legais em contrário". BRASIL. Lei nº 12.965, de 23 de abril de 2014. Estabelece princípios, garantias, direitos e deveres para o uso da Internet no Brasil. DOU 24.04.2014. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2011-2014/2014/lei/l12965.htm>. Acesso em 12 jun. 2020.

[31] Neste sentido, a Comissão Europeia endereçou categoricamente: "Se a UE pretende assumir um papel de liderança na economia dos dados, tem de agir agora e abordar, de forma concertada, questões que vão da conectividade ao tratamento e armazenamento de dados, passando pela capacidade computacional e pela cibersegurança. Além disso, terá de melhorar as suas estruturas de governação para manuseamento de dados e de aumentar os repositórios de dados de qualidade disponíveis para utilização e reutilização". UNIÃO EUROPEIA. COMISSÃO EUROPEIA. COMUNICAÇÃO DA COMISSÃO AO PARLAMENTO EUROPEU, AO CONSELHO, AO COMITÉ ECONÓMICO E SOCIAL EUROPEU E AO COMITÉ DAS REGIÕES: Uma estratégia europeia para os dados. COM(2020) 66 final. Bruxelas, 19 de fevereiro de 2020. Disponível em: <https://eur-lex.europa.eu/legal-content/PT/TXT/PDF/?uri=CELEX:52020DC0066&from=EN>. Acesso em 12 jun. 2020.

[32] BRASIL. ASSOCIAÇÃO BRASILEIRA DE NORMAS TÉCNICAS. ABNT NBR ISO 31000:2018 - Gestão de Riscos - Princípios e Diretrizes. Primeira Edição: 30.11.2009. Data de Publicação: 28.03.2018.

[33] Artigo 50 e seguintes da LGPD. Para mais, vide: BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.

[34] Artigo 52 da LGPD. Para mais, vide: BRASIL. Lei nº 13.709, de 14 de agosto de 2018. Lei Geral de Proteção de Dados Pessoais (LGPD). DOU 15.08.2018. Disponível em: <http://www.planalto.gov.br/ccivil_03/_ato2015-2018/2018/lei/L13709compilado.htm>. Acesso em 12 jun. 2020.

[35] Vide: SWINHOE, Dan. How CISOs and data privacy officers should work together. CSO Online. March, 25, 2020. Disponível em: <https://www.csoonline.com/article/3532490/how-cisos-and-data-privacy-officers-should-work-together.html>. Acesso em 12 jun. 2020.

[36] EUROPEAN UNION. REGULATION (EC) No 45/2001 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 18 December 2000 on the protection of individuals with regard to the processing of personal data by the Community institutions and bodies and on the free movement of such data. Disponível em: <https://edps.europa.eu/sites/edp/files/publication/reg_45-2001_en.pdf>. Acesso em 12 jun. 2020.

[37] Ressalta-se que como ainda não fora instituída a Autoridade Nacional de Proteção de Dados (ANPD), que será a responsável por elaborar as diretrizes e regulamentos no tocante à proteção de dados (conforme indica o Art. 55-J), não há restrição imposta até o momento quanto a contratação de profissionais externos; porém, isso poderá ser futuramente alterado, a critério e determinação da ANPD.