O valor jurídico de uma Política de Segurança da Informação no monitoramento dos dispositivos informáticos

AGRADEÇA AO AUTOR COMPARTILHE!

Política de Segurança da Informação (PSI) é um documento interno que, baseado na ISO 27001, estabelece diretrizes para o uso adequado dos recursos tecnológicos e a proteção dos ativos de informação de uma empresa. Essa política deve abranger todas as áreas da corporação e ser do conhecimento de todos os colaboradores.

A ampla divulgação de uma PSI deve compor o calendário de atividades de toda empresa que esteja inserida no contexto da sociedade digital. Dar notoriedade a esta política, realizando divulgações por e-mails, portal de intranet, mensagem em telas de logon, palestras de conscientização, entre outras formas, consolidam um alicerce forte que dá suporte às empresas que realizam o monitoramento de seus equipamentos, sistemas e serviços de rede fornecidos aos colaboradores para o exercício de suas atividades laborais.

É sabido que esse monitoramento pode ser realizado pelo empregador por ser ele responsável pelos atos de seus empregados (art. 932, III, CC). Desse modo, considero que seja sensata a fiscalização dos recursos computacionais de uma empresa. Além disso, conforme entendimento jurisdicional (TST – AIRR 613/2000), não existe expectativa de privacidade para os colaboradores em dispositivos e ferramentas disponibilizadas para o exercício de sua função. Somado a estes fatores, uma Política de Segurança da Informação, formalmente divulgada, reforça a segurança jurídica das empresas para realização do monitoramento de seus dispositivos informáticos.

Reforço: Toda empresa possui o direito de monitorar os recursos tecnológicos de sua propriedade que foram concedidos aos colaboradores para o exercício exclusivo de suas atividades profissionais.

Mas, ATENÇÃO!!!

A atividade de monitoramento não deve ser realizada de modo displicente ou sem fato motivador, nem muito menos para atender aos interesses pessoais de quem a realiza. A título de exemplo, cito que, apesar de uma área de TI possuir acesso a todas as mailboxes dos colaboradores, não é razoável que exista alguém nessa área que acesse o conteúdo dessas caixas de e-mail para atender ao seu bel-prazer. Ou que, sem fato motivador, um supervisor passe a monitorar de forma recorrente as conversas do Skype for Business de um subordinado, pois nesse último caso, dependendo do contexto, poderá haver a caracterização de um assédio moral.

Por fim, meu objetivo com esse artigo pode ser resumido com o seguinte ditado popular:

“O QUE É COMBINADO NÃO SAI CARO.”

Explico! É que no contexto do monitoramento de recursos tecnológicos, a PSI é o “combinado”. Através dela a empresa informa ao colaborador como os recursos devem ser utilizados e que, caso seja necessário, eles poderão ser monitorados/auditados. Já o colaborador demonstra ciência do conteúdo dessa PSI quando, por exemplo, seu nome consta na lista de presença da palestra de segurança da informação ou registra acesso a PSI divulgada na intranet. Se todos, empregado e empregador, andarem de acordo com o “combinado”, nenhum mal há de ocorrer. (rs)

P.S. Mantenham registros de divulgação da PSI. O modo como será feito vai depender de sua criatividade. Fazendo isso, quando uma pisada de bola fundamentar uma demissão por justa causa, o empregado não terá como alegar que “houve violação à intimidade e à privacidade”. Na verdade ele até pode alegar, mas com o amparo do Código Civil e de uma boa PSI é pouco provável que o juiz aceite. 

AGRADEÇA AO AUTOR COMPARTILHE!

Elvis Romão

Mais artigos deste autor »

Profissional de Tecnologia da Informação, associado ao Instituto dos Auditores Internos do Brasil (IIA Brasil), a Associação Nacional dos Profissionais de Privacidade de Dados (ANPPD) e articulista esporádico.

Graduado em Redes de Computadores, Pós-Graduado em Administração e Segurança de Sistemas Computacionais, com MBA em Auditoria. Possui formação complementar em Perícia Computacional Forense, Privacidade e Proteção de Dados, Compliance Digital e Segurança da Informação.

Possui certificação em ISFS, PDPF, ITIL e NCS.

E-mail: elromao@gmail.com
Site: www.elvisromao.com.br
Instagram: @auditoresdeti


1 Comentários

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

This site is protected by reCAPTCHA and the Google Privacy Policy and Terms of Service apply.

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">