O monitoramento digital de e-mail pelo empregador configura crime?

(Artigo originalmente publicado no Portal Crimes pela Internet, em 06/04/2015.)

Recentemente, a 6ª Turma do Tribunal Superior do Trabalho (TST) manteve a condenação de uma empresa de call center em R$ 5 mil por danos morais a uma operadora de telemarketing por ter invadido seu e-mail e mensagens pessoais.

Segundo notícia publicada no site da Corte trabalhista, a supervisora da funcionária aproveitou-se de sua ausência no posto de trabalho e determinou a um técnico em informática que acessasse o computador em que a empregada operava, tendo, assim, lido o conteúdo de mensagens pessoais em sua conta particular de e-mail e da rede social Facebook. Não satisfeita, a supervisora teceu comentários sobre o conteúdo das mensagens e também a respeito da funcionária e do colega com quem se comunicava na mesma rede social, submetendo-os a situação vexatória.

O Tribunal, firme em sua jurisprudência, tem se posicionado com cautela diante do uso de ferramentas corporativas digitais com desvio de finalidade. Há um entendimento – predominante – no sentido de que o sigilo de correspondência, direito consagrado como fundamental no art. 5º, inc. XII, da Constituição Federal, pode ser flexibilizado em determinados (e muito específicos) casos.

O TST, de fato, interpreta que é imprescindível que haja ao menos duas situações concomitantes capazes de autorizar a mitigação da inviolabilidade da privacidade de mensagem eletrônica do funcionário, insertas no chamado poder diretivo do empregador.

Monitorar computador de funcionário é crime? O que diz a lei?

Em primeiro lugar, é necessário que a empresa disponibilize ao empregado (como instrumento de seu trabalho) os dispositivos digitais e informáticos, ou seja, o computador, smartphone ou tablet (hardware) ou o e-mail ou outra ferramenta digital (software). Em segundo lugar, entende o Tribunal que é necessária a existência de uma política suficientemente clara, transparente e efetiva de fiscalização eletrônica devidamente informada ao funcionário(cláusulas contratuais, políticas internas e códigos de conduta), não sendo suficiente sua simples existência: é preciso que a empresa efetivamente a pratique.

Diante desse cenário jurisprudencial permissivo, em que um direito constitucional é mitigado por Cortes infraconstitucionais, toda cautela é necessária. Especialmente quanto aos desdobramentos dos atos decorrentes do poder diretivo das empresas.

Por isso, uma questão crucial nessa discussão e que deve pautar a conduta dos empregadores é a possibilidade de suas ações configurarem crime de invasão de dispositivo informático, previsto no art. 154-A do Código Penal e trazido ao ordenamento jurídico pela Lei nº 12.737, de 30 de novembro de 2012 – também conhecida como Lei Carolina Dieckmann, em alusão aos crimes cometidos contra a atriz em que fotos pessoais e íntimas foram capturadas sob chantagem de publicação na internet, o que acabou ocorrendo.

Seria, portanto, possível que o poder diretivo de uma empresa possa extrapolar o âmbito de incidência do Direito trabalhista para recair sobre a esfera do Direito Penal? A resposta a esse questionamento não é objetiva, pois dependerá das circunstancias do caso concreto.

monitorar computador de funcionário

Inicialmente, analisemos o tipo penal específico: crime de invasão de dispositivo informático. O caput do art. 154-A do Código Penal prevê a seguinte conduta:

Invasão de dispositivo informático

Art. 154-A. Invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita:

Pena – detenção, de 3 (três) meses a 1 (um) ano, e multa.”

De forma estrutural, deve-se buscar interpretar o tipo penal a partir de uma compreensão sobre os elementos normativos que importam à nossa análise: “dispositivo informático”, “alheio”, “indevida”, “mecanismo de segurança”, “obter” e “titular”. Não há, na própria lei penal, uma definição para esses termos, o que confere a tais elementos uma natureza extrajurídica, ou seja, dependente de valoração externa à própria norma penal.

Uma leitura superficial do texto legal poderia induzir precocemente à conclusão de que a empresa, por meio de seus prepostos, não incorreria em prática criminosa ao exercer seu poder diretivo, pois o tipo penal é claro ao estabelecer a propriedade “alheia” como um de seus elementos objetivos, além de deixar claro, ao final, que a vítima só poderia ser o “titular do dispositivo”. Ora, a pensar dessa maneira, bastaria que o empregador se certificasse da primeira situação autorizadora da flexibilização do direito ao sigilo de correspondência, que mencionamos acima, ou seja, que fossem suas as ferramentas digitais e informáticas cedidas ao trabalhador.  Dessa maneira, nada teria a temer com relação a eventual configuração de prática criminosa. Afinal, o “titular do dispositivo” informático seria o próprio empregador (proprietário), a menos que se considere como titular também o possuidor, o que não parece ter sido a intenção do legislador.

Porém, convém aprofundarmos no estudo do tipo penal, ainda sob a ótica da realidade trabalhista, para nos certificarmos da amplitude da ação patronal com relação à tipicidade formal da conduta.

Por “dispositivo informático”, deve-se compreender predominantemente o hardware onde se armazenam os dados ou as informações. Há quem defenda que a expressão também abrange programas computacionais, o que é razoável de se supor, especialmente em tempos de computação na nuvem (cloud computing) e serviços online (como o Gmail ou oFacebook, por exemplo). Vamos nos ater, porém, ao que é mais comum: os dispositivos físicos.

O hardware, assim, compreenderia não somente o computador (desktop, laptop, netbook, ultrabook), mas qualquer equipamento capaz de processar, transmitir e armazenar dados através de tecnologia eletrônica digital. Dado esse conceito, também estariam abrangidos no tipo penal os smartphones, tablets, smartwatches, smartglasses, os antigos (mas ainda em uso) PDAs/palmtops e uma infinidade de novos dispositivos e tecnologias que estão sendo lançados a cada momento (wearable computers, internet das coisas etc.). Até mesmo aparelhos de bipe ou pagers (que alguns profissionais liberais ainda usam) poderiam ser assim considerados.

9

Outro aspecto fundamental para fugir-se à tipificação penal da conduta patronal está relacionado à compreensão do que seria uma violação “indevida” de mecanismo de segurança a que a lei se refere. Algo indevido é algo contrário às regras, contrário ao que é devido. Logo, para a empresa, nesse ponto, bastar cercar-se da segunda situação autorizadora da flexibilidade do direito insculpido no art. 5º, inc. XII, da CF, que também mencionamos antes: a existência de uma política expressa de monitoramento de mensagens eletrônicas e de ferramentas informáticas – ou seja, regras claras, precisas e transparentes, que prevejam, inclusive, o direito (do empregador ou de seus prepostos) de fiscalizar o conteúdo das informações que trafegam em seus dispositivos informáticos (físicos e lógicos). Se assim o fizer, a empresa evitaria mais um elemento do tipo penal em estudo. Afinal, não se pode alegar ser indevido um acesso, ainda que forçado/violado, a dispositivo informático utilizado por funcionário quando essa conduta estiver prevista no conjunto de regramentos internos da empresa. Não seria, pois, uma ação contrária às regras, mas, pelo contrário, nelas prevista e por elas amparada.

Prosseguindo nossa análise, deve-se compreender um “mecanismo de segurança” como qualquer suporte ou controle apto a proteger a informação armazenada no dispositivo informático, seja ele físico (gabinete do computador chaveado etc.) ou lógico (senha numérica ou alfanumérica, recursos de criptografia, assinatura digital, certificados digitais, protocolos de segurança, firewall, programa antivírus, sistemas biométricos – digital, retina, palma da mão, padrão de voz, reconhecimento facial etc.). Ou seja, é necessário que o dispositivo informático possua um (ou mais) desses mecanismos de segurança, sujeitos à ação transgressora. Muito provavelmente, todas as empresas possuem algum mecanismo de segurança, sendo os mais comuns o firewall e o antivírus. Aqui, o elemento predominante é o flanqueamento dos mecanismos de combate à vulnerabilidade do dispositivo.

Por fim, o último elemento normativo dependente de uma interpretação cuidadosa está relacionado com a finalidade especial da ação: segundo o tipo penal, constitui crime de invasão de dispositivo informático a conduta que violar mecanismo de segurança com o propósito de “obter (…) dados ou informações sem autorização” do titular do equipamento. Esse ponto é crucial para análise de comportamento típico penal do empregador: há controvérsia na doutrina sobre o significado do termo “obter”. Poderia o empregador praticar crime se apenas monitorasse o conteúdo, sem reproduzi-lo (copiar) ou transmiti-lo (enviar) a nenhum outro dispositivo? A doutrina tem entendido que sim, o simples acesso com o propósito de visualização do conteúdo já permite o enquadramento no tipo penal. Isso porque a obtenção dos dados ou informações estaria relacionada com um conceito não apenas de adquirir, mas de se alcançar o que se deseja, de conquistar, de concretizar uma intenção. Ou seja, ainda que o empregador apenas leia o conteúdo em uma tela ou monitor, isso já seria suficiente para a tipicidade penal da conduta.

Além do crime simples consignado no caput do art. 154-A, a Lei Carolina Dieckmann previu, ainda, uma forma qualificada desse tipo penal. É o que consta logo adiante, no § 3º do mesmo artigo:

“§ 3º Se da invasão resultar a obtenção de conteúdo de comunicações eletrônicas privadas, segredos comerciais ou industriais, informações sigilosas, assim definidas em lei, ou o controle remoto não autorizado do dispositivo invadido:

Pena – reclusão, de 6 (seis) meses a 2 (dois) anos, e multa, se a conduta não constitui crime mais grave.”

Como se pode observar, no caso das relações trabalhistas, o tipo de dado ou informação obtido pelo empregador pode agravar ainda mais a sua situação, à luz da legislação penal. Isso porque, se o conteúdo obtido for decorrente de comunicações privadas, como mensagens de texto, áudio, vídeo ou imagens trocadas ou enviadas a um interlocutor, a pena é dobrada.

É bom que se deixe claro que não são apenas mensagens privadas que podem estar sob monitoramento do empregador, dentro do que se admite para o exercício de seu poder diretivo (observadas as circunstâncias que mencionamos acima): uma empresa poderia instituir um sistema de controle interno de segurança da informação e responsabilidade de conteúdo amparado por medidas diversas, como, por exemplo, a mais óbvia, que é o já mencionado monitoramento digital de conteúdo das mensagens eletrônicas que circulam em seus sistemas informáticos (quando o programa de comunicação é corporativo). Outra medida de controle interno seria o monitoramento dos dados digitais de acesso à internet ou a dispositivos lógicos ou físicos de uma rede interna (intranet), em que o empregador preocupa-se em saber se o funcionário está acessando sites ou dispositivos proibidos por sua política de trabalho (redes sociais, sites pornográficos ou mesmo um disco rígido compartilhado em rede) ou mesmo com conteúdo ilegal (pedofilia, pirataria).

Em resumo, dificilmente a conduta do empregador poderia ser configurada como crime de invasão a dispositivo informático. São muitos os elementares do tipo penal e, em todos os casos, é possível às empresas cercarem-se de cuidados técnicos e jurídicos a fim de não sofrerem as consequências da lei penal.

Porém, um alerta deve ser dado: todas as circunstâncias aqui analisadas dizem respeito à esfera corporativa patronal. A partir do momento em que o poder diretivo se voltar ao conteúdo de mensagens privadas em dispositivos informáticos e lógicos pessoais do funcionário, as chances para o enquadramento no crime tornam-se reais, sem prejuízo das consequências no âmbito trabalhista e cível, como indenizações por dano moral.

Enfim, uma boa e bem construída política interna digital associada a uma análise profissional por advogado especializado no assunto pode proteger a empresa de eventuais problemas judiciais, seja em que esfera do Direito for.

 

Texto desenvolvido por Fabrício da Mota Alves, advogado especialista em Direito Digital.

Email: contato@motaalves.adv.br.

 

Deixe seu comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s