O valor jurídico de uma Política de Segurança da Informação no monitoramento dos dispositivos informáticos

AGRADEÇA AO AUTOR COMPARTILHE!

Política de Segurança da Informação (PSI) é um documento interno que, baseado na ISO 27001, estabelece diretrizes para o uso adequado dos recursos tecnológicos e a proteção dos ativos de informação de uma empresa. Essa política deve abranger todas as áreas da corporação e ser do conhecimento de todos os colaboradores.

A ampla divulgação de uma PSI deve compor o calendário de atividades de toda empresa que esteja inserida no contexto da sociedade digital. Dar notoriedade a esta política, realizando divulgações por e-mails, portal de intranet, mensagem em telas de logon, palestras de conscientização, entre outras formas, consolidam um alicerce forte que dá suporte às empresas que realizam o monitoramento de seus equipamentos, sistemas e serviços de rede fornecidos aos colaboradores para o exercício de suas atividades laborais.

É sabido que esse monitoramento pode ser realizado pelo empregador por ser ele responsável pelos atos de seus empregados (art. 932, III, CC). Desse modo, considero que seja sensata a fiscalização dos recursos computacionais de uma empresa. Além disso, conforme entendimento jurisdicional (TST – AIRR 613/2000), não existe expectativa de privacidade para os colaboradores em dispositivos e ferramentas disponibilizadas para o exercício de sua função. Somado a estes fatores, uma Política de Segurança da Informação, formalmente divulgada, reforça a segurança jurídica das empresas para realização do monitoramento de seus dispositivos informáticos.

Reforço: Toda empresa possui o direito de monitorar os recursos tecnológicos de sua propriedade que foram concedidos aos colaboradores para o exercício exclusivo de suas atividades profissionais.

Mas, ATENÇÃO!!!

A atividade de monitoramento não deve ser realizada de modo displicente ou sem fato motivador, nem muito menos para atender aos interesses pessoais de quem a realiza. A título de exemplo, cito que, apesar de uma área de TI possuir acesso a todas as mailboxes dos colaboradores, não é razoável que exista alguém nessa área que acesse o conteúdo dessas caixas de e-mail para atender ao seu bel-prazer. Ou que, sem fato motivador, um supervisor passe a monitorar de forma recorrente as conversas do Skype for Business de um subordinado, pois nesse último caso, dependendo do contexto, poderá haver a caracterização de um assédio moral.

Por fim, meu objetivo com esse artigo pode ser resumido com o seguinte ditado popular:

“O QUE É COMBINADO NÃO SAI CARO.”

Explico! É que no contexto do monitoramento de recursos tecnológicos, a PSI é o “combinado”. Através dela a empresa informa ao colaborador como os recursos devem ser utilizados e que, caso seja necessário, eles poderão ser monitorados/auditados. Já o colaborador demonstra ciência do conteúdo dessa PSI quando, por exemplo, seu nome consta na lista de presença da palestra de segurança da informação ou registra acesso a PSI divulgada na intranet. Se todos, empregado e empregador, andarem de acordo com o “combinado”, nenhum mal há de ocorrer. (rs)

P.S. Mantenham registros de divulgação da PSI. O modo como será feito vai depender de sua criatividade. Fazendo isso, quando uma pisada de bola fundamentar uma demissão por justa causa, o empregado não terá como alegar que “houve violação à intimidade e à privacidade”. Na verdade ele até pode alegar, mas com o amparo do Código Civil e de uma boa PSI é pouco provável que o juiz aceite. 

AGRADEÇA AO AUTOR COMPARTILHE!

Elvis Romão

Mais artigos deste autor »

Auditor e Perito especialista em Tecnologia da Informação, com mais de 10 anos de experiência em TI e Telecom. Associado ao Instituto dos Auditores Internos do Brasil (IIA Brasil), articulista em sites especializados em TI, tendo atuado anteriormente como Técnico de Hardware, Analista de Suporte, Analista de Rede e Analista em Processos ITIL.

Graduado em Redes de Computadores, Pós-Graduado em Administração e Segurança de Sistemas Computacionais e em Auditoria.

Possui formação complementar em Perícia Computacional Forense, Privacy & Data Protection, Compliance Digital e Segurança da Informação. Certificado em ISO 27001, ITIL e NCS.
__
E-mail: [email protected]
Site: www.elvisromao.com.br


1 Comentários

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">