Segredos empresariais: Como proteger suas informações confidenciais

A competitividade de um negócio não é mais medida apenas pelo que consta no balanço patrimonial, mas pelo valor de seus ativos intangíveis. Isso inclui desde uma estratégia de captação de clientes, o design de um novo produto ou até mesmo a arquitetura de uma infraestrutura tecnológica futura.

Quando qualquer um desses ativos é vazado sem autorização, a organização, que antes liderava seu mercado, fica exposta e vulnerável. É nesse ponto que as regulações de proteção de segredos de negócio e as tecnologias de criptografia e controles de acesso atuam como um escudo legal indispensável.

Neste artigo, abordaremos qual tipo de informação merece proteção, os requisitos estabelecidos pela legislação brasileira sobre segredos de negócio e as medidas técnicas e organizacionais que você pode implementar para proteger sua vantagem competitiva antes que seja tarde demais.

O que é um segredo empresarial?

Para entender a importância de salvaguardar informações confidenciais, primeiro precisamos saber o que se qualifica, legalmente, como segredo empresarial.

Embora não haja uma lei específica para a proteção de segredos empresariais, no Brasil as informações confidenciais são garantidas por um conjunto de leis, como o Código Civil (Lei nº 10.406/2002), a Lei da Propriedade Industrial (Lei nº 9.279/1996) e a Lei Geral de Proteção de Dados (LGPD – Lei nº 13.709/2018).

Na prática, a doutrina e os tribunais reconhecem como segredo empresarial qualquer informação tecnológica, científica, industrial, comercial, organizacional ou financeira que:

• Permaneça sigilosa, isto é, não seja de domínio público nem facilmente acessível a quem atua no mesmo setor;
• Tenha valor competitivo por ser desconhecida;
• Seja alvo de medidas razoáveis de proteção (contratuais, técnicas e organizacionais) adotadas por seu titular para impedir o acesso ou uso não autorizados.

Esses três elementos, embora não constem de forma literal na LPI, alinham-se ao padrão internacional (TRIPS) e fundamentam as decisões judiciais quando se discute violação de segredos no Brasil.

Segredos empresariais: como proteger suas informações confidenciais

A legislação brasileira, especialmente a Lei da Propriedade Industrial (Lei nº 9.279/1996), estabelece que a obtenção de um segredo sem o consentimento de seu titular é ilícita quando se recorre a práticas contrárias à boa-fé comercial ou aos usos honestos de mercado. Os principais casos de ilicitude incluem:

• Acesso, apropriação ou cópia não autorizados: Acessar sistemas, escritórios ou repositórios (físicos ou digitais) e realizar cópias, fotografias ou downloads de documentos, arquivos ou mídias que contenham o segredo ou permitam deduzi-lo.
• Espionagem industrial ou comercial: Obtenção por meio de roubo, engano, coação, suborno de funcionários ou invasão de sistemas, bem como qualquer outra conduta que viole as práticas comerciais honestas.
• Uso ou divulgação com ciência de origem ilícita: Também incorre em ilicitude quem utiliza ou divulga a informação mesmo sem tê-la obtido diretamente, se sabia ou, dadas as circunstâncias, deveria saber que a informação provinha de uma fonte ilícita.
• Infração de acordos ou deveres de confidencialidade: O descumprimento de um acordo de confidencialidade, de uma cláusula contratual de não divulgação ou de qualquer obrigação legal de sigilo torna a utilização ou revelação ilícita, mesmo que a informação tenha sido recebida de forma inicialmente legítima.

Neste ponto, é importante destacar que a lei brasileira distingue claramente entre obtenção ilícita e obtenção lícita. Considera-se lícita, por exemplo, a descoberta independente, a engenharia reversa sobre um produto adquirido legalmente ou a revelação motivada por um interesse público legítimo, como alertar sobre uma conduta ilegal ou exercer direitos sindicais.

Medidas práticas para implementar a proteção dos segredos empresariais

Para realizar uma defesa eficaz da informação sigilosa, propomos uma estratégia multifacetada que combine governança, cultura, processos e tecnologia.

Classificação e rotulagem da informação

O primeiro passo para blindar qualquer ativo intangível é identificá-lo com precisão para atribuir a cada dado o nível de segurança que realmente precisa.

• Inventário e mapeamento de ativos de informação: Identificar quais dados ou conhecimentos podem ser considerados “segredos empresariais”, diferenciando-os de outras informações confidenciais ou públicas. Incluir tanto ativos digitais (bancos de dados, código-fonte, documentação interna) quanto físicos (plantas, protótipos, manuais).
• Critérios de classificação: Definir níveis (por exemplo: público, interno, confidencial, secreto empresarial) de acordo com o impacto de sua divulgação e seu valor estratégico. Essa rotulagem deve ser conhecida e aplicada em toda a organização.
• Ferramentas de rotulagem automática: Utilizar soluções que permitam classificar documentos com base no conteúdo ou nos metadados para reforçar a consistência e minimizar erros manuais.

Políticas internas e acordos contratuais

É fundamental contar com normas internas claras e contratos de confidencialidade bem definidos; eles são a base que garante que cada colaborador, fornecedor e parceiro conheça suas obrigações e limites ao manusear informações sensíveis.

• Política de segredos e confidencialidade: Redigir um documento interno que descreva claramente o que é considerado segredo empresarial, os níveis de acesso e os protocolos de manuseio. Incluir diretrizes para a criação, armazenamento, uso e eliminação segura.
• Acordos de confidencialidade (NDAs): Incluir cláusulas específicas sobre segredos empresariais em contratos com funcionários, fornecedores, parceiros e potenciais investidores. Assegurar que contemplem sanções ou indenizações em caso de descumprimento.
• Cláusulas em contratos de trabalho: Incorporar disposições sobre o dever de sigilo após o término da relação de trabalho, com limitações temporais e alcance razoável, em conformidade com a legislação trabalhista brasileira. É conveniente revisá-las periodicamente em função de mudanças regulatórias ou organizacionais.

Ferramentas tecnológicas e medidas de cibersegurança

Implementar soluções de criptografia, controle de acesso e monitoramento avançado é essencial para blindar a informação confidencial contra ameaças internas e externas em um ambiente digital cada vez mais complexo.

• Prevenção de Perda de Dados (DLP – Data Loss Prevention): Mecanismos de bloqueio ou criptografia automática quando detectada uma tentativa de mover ou compartilhar informação secreta.
• Criptografia de dados: Implementar criptografia robusta em bancos de dados, armazenamento em nuvem, cópias de segurança e comunicações internas ou externas (TLS).
• Gestão de chaves: Utilizar soluções de gestão de chaves seguras (HSM ou serviços nuvem de KMS) com rotação periódica e controles de acesso rigorosos. Documentar políticas de retenção e rotação.
• Gestão de identidades e acessos: Empregar sistemas de autenticação multifator (MFA) para acesso a sistemas críticos e revisar periodicamente as listas de acesso, eliminando contas inativas ou excessos de privilégios.
• Monitoramento, auditoria e detecção de anomalias: Integrar eventos de segurança para correlacionar possíveis acessos ou movimentações de informação fora dos padrões habituais.
• Estratégia de backups seguros: Realizar cópias periódicas criptografadas em locais segregados, com testes de restauração para garantir a disponibilidade em caso de incidentes.
• Proteção de Endpoints e Rede: Isolar sistemas críticos, usar VPN com MFA e monitorar o tráfego criptografado em busca de anomalias.

Também é importante realizar revisões periódicas para verificar se as políticas e controles estão vigentes e são eficazes, além de estabelecer um plano de ação para reagir a suspeitas de vazamento ou violação de confidencialidade, definindo equipes de resposta, canais de comunicação internos e externos, e coordenação com assessoria jurídica.

O que a legislação brasileira dispõe em caso de violação?

Quando se constata a obtenção, uso ou revelação ilícita de informação protegida, o titular dispõe de uma série de ações cíveis e, em alguns casos, criminais, projetadas para interromper o dano e restituir sua posição competitiva. Entre as medidas que podem ser solicitadas destacam-se:

• Cessação imediata e proibição de repetir a infração, incluindo a fabricação ou comercialização de produtos que incorporem o know-how roubado.
• Retirada do mercado e apreensão de mercadorias infratoras, assim como dos meios de produção utilizados para obtê-las.
• Retirada ou destruição de documentos e mídias que contenham o segredo, ou sua entrega ao demandante se for necessário.
• Publicação da sentença (preservando a confidencialidade) para restabelecer a reputação danificada.
• Indenização por danos e prejuízos, que pode abranger a perda direta, o lucro cessante e, se for o caso, o dano moral, calculada conforme critérios aplicáveis na legislação brasileira, como a Lei da Propriedade Industrial e o Código Civil.

A melhor estratégia: A prevenção

A proteção dos segredos empresariais é um pilar fundamental para manter a inovação e a competitividade em qualquer empresa B2B, especialmente em setores regulados ou com alto componente de informação sensível.

Implementar uma abordagem integral de cibersegurança que inclua criptografia de dados, controle de acessos, monitoramento contínuo e gestão de vulnerabilidades é a medida mais eficaz para blindar seu know-how e evitar vazamentos, usos não autorizados e os graves danos econômicos e reputacionais que estes acarretam.

A prevenção reforçada não apenas coloca sua empresa em posição de força diante da legislação brasileira de proteção de segredos de negócio, mas também assegura a continuidade e o crescimento sustentável de seu negócio. Se você quer elaborar um plano de proteção sob medida e aproveitar ao máximo as soluções digitais da Namirial, nossa equipe de especialistas está pronta para acompanhá-lo em cada passo do processo.