A preocupação com a utilização de dispositivos eletrônicos pessoais para fins corporativos está em ascensão e se tornou um ponto de atenção a nível mundial. Em março de 2023, o Departamento de Justiça dos Estados Unidos da América (Department of Justice ou “DOJ”) anunciou uma nova orientação sobre o uso de dispositivos pessoais e a retenção de comunicações corporativas. A preocupação do DOJ em relação ao uso de dispositivos pessoais e aplicativos de mensagens de terceiros vem crescendo há anos, à medida que esses aplicativos têm contribuído para problemas de preservação de dados que dificultaram investigações internas de empresas, bem como investigações do próprio DOJ.
Essa nova orientação amplia o escopo da diretriz emitida pela autoridade norte-americana em setembro de 2022 conhecida como Avaliação de Programas de Conformidade Corporativa (Evaluation of Corporate Compliance Programs ou “ECCP”), que aconselha que todas as empresas deveriam ter políticas eficazes que regulassem o uso de dispositivos pessoais e plataformas de mensagens de terceiros para comunicações corporativas. Dessa forma, promotores norte-americanos são explicitamente instruídos a considerarem a abordagem de uma empresa quanto ao uso de aplicativos de mensagens e “comunicação efêmera” em dispositivos pessoais. Isso porque, por exemplo, crimes, fraudes e acordos entre concorrentes podem acontecer por meio de comunicações informais de funcionários, que unilateralmente podem controlar fluxos de informações, bem como editar ou apagar evidências para evitar o conhecimento das empresas e das autoridades públicas.
A partir das orientações emitidas pelo DOJ, muitas empresas têm buscado implementar mecanismos que garantam a adequação e eficácia de seus programas de conformidade, como por exemplo, melhoria ou criação de políticas internas e termos de compromisso, realização de treinamentos com foco na utilização de dispositivos pessoais para fins de trabalho, bem como implementação de metodologias tecnológicas que garantam a integridade de coleta, análise e preservação de dados que tenham sido extraídos de dispositivos pessoais de empregados para fins de investigação interna. Há empresas que passaram a vedar comunicações profissionais em dispositivos pessoais e/ou em aplicativos de comunicação efêmera (e.g., WhatsApp e Telegram), ainda que em dispositivos corporativos. A preocupação envolve não apenas a deleção de evidências, como também o acesso e a retenção de dados sensíveis do empregador e de clientes após o desligamento de um funcionário.
Esse tema em geral não está em discussão apenas no exterior. Em linha com preocupações do DOJ, em maio de 2024 o Superior Tribunal Justiça (“STJ”) demonstrou ceticismo com relação a provas coletadas diretamente em um aparelho celular. O STJ decidiu que são inadmissíveis em processo penal provas obtidas de celular quando não forem adotados procedimentos para assegurar a idoneidade e a integridade dos dados extraídos, uma vez que evidências digitais podem ser facilmente alteradas por empresas, investigados, autoridades públicas e por hackers, muitas vezes de maneira imperceptível.
Segundo o STJ, para que evidências digitais advindas de aparelho celular (ou outro dispositivo) sejam válidas, é necessário “testar o DNA” da prova – e isso vale para todos os envolvidos em uma investigação ou processo. Dessa forma, é de extrema importância que empresas invistam em ferramentas que identificam e formalizam a custódia e tratamento de dados, sob pena de verem anuladas as evidências que pretendem utilizar a favor ou contra seus próprios interesses. É indispensável que todas as fases do processo de obtenção de provas digitais sejam documentadas, cabendo às empresas e autoridades públicas, além da adequação de metodologias tecnológicas que garantam a integridade dos elementos extraídos, o devido registro das etapas da cadeia de custódia, de modo que sejam asseguradas a autenticidade e a integralidade dos dados.
Esse tema deve ser visto com atenção, afinal hoje é quase inviável não utilizar dispositivos eletrônicos no dia-a-dia dos negócios. Diretrizes emitidas internacionalmente e decisões judiciais recentes no Brasil servem de baliza e são fontes úteis para empresas criarem e avaliarem a eficácia de seus programas de Compliance no que toca ao uso de dispositivos eletrônicos, em especial pessoais. À luz dos riscos e das particularidades de sua empresa, é necessário avaliar se a pergunta do título deste artigo deve ser respondida com sim, não ou talvez.
