Monitoramento ? Como evitar riscos jurídicos?

Dez 08 2009

Desse modo, a questão do monitoramento volta a ser tema central em muitas reuniões. Afinal, como fazer o monitoramento sem riscos jurídicos? Como validar o direito da empresa de verificar o uso adequado da ferramenta de trabalho sem que isso ultrapasse o limite legal e configure infração de privacidade, abuso de direito, perseguição, crime de interceptação, entre outras tipificações possíveis, dependendo do caso.

Primeiramente, o jurídico é responsável por normatizar as condutas na empresa. Todo profissional de TI ou de Segurança da Informação sabe que é importante atender as melhores práticas da ISO 27002, mas o que poucos conseguem, efetivamente, é estar em conformidade ao domínio 15 da mesma, que trata da questão jurídica.

Além disso, há dois motivos para que o empregador monitore o uso dos recursos. Um deles, muito legítimo, é o que visa proteger contra eventuais ameaças, em geral, situação de ataques, vírus, demais vulnerabilidades. Outro, mais polêmico, visa gerar métricas de produtividade. Afinal, o mesmo software que faz a ronda eletrônica na rede da empresa é capaz também de revelar o que de fato cada profissional está fazendo.

Mas por que a questão da produtividade gera tantas controvérsias? Na verdade, o problema maior é que os computadores são testemunhas literais, relatam exatamente o que viram, mas fora de contexto. Por exemplo, há pessoas extremamente produtivas, que em 2 horas do dia conseguem executar todas as suas tarefas e sobra tempo para fazer mais pesquisas, o que significa navegar na internet. Já há outras pessoas não tão eficientes que levam muito mais tempo do que esperado para realizar uma tarefa, e muitas vezes, não lhe sobra tempo nem para se atualizar lendo notícias, logo, usa menos os recursos de TI. Sendo assim, um relatório simples de monitoramento pode gerar uma análise equivocada de produtividade. Este papel é e deve ser da área de Recursos Humanos e do gestor imediato do profissional, e não da área de Segurança da Informação. Um relatório de monitoramento pode dar muita margem a erros de interpretação e deve ser visto com cautela, devendo ser compartilhado de modo restrito na empresa.

As regras precisam estar claras entre as partes. Esta é a melhor recomendação para evitar riscos jurídicos. Além desta, segue uma tabela com os principais indicadores jurídicos (no total são cerca de 36 itens de análise) que devem ser considerados ao se implementar monitoramento corporativo. Quando bem feito, protege ambas as partes.

Dicas para Monitoramento Legal:

  • Evitar Subjetividade e/ou Generalizações;
  • Deixar claro o conceito de Identidade Digital (não apenas de senhas) e alinhar com alçadas e poderes;
  • Deixar claro que há Monitoramento (e prever as duas hipóteses tanto para fins de segurança como de produtividade);
  • Deixar claro que há inspeção Física de equipamentos da empresa, particulares e/ou de terceiros;
  • Deixar claro que os recursos devem ser usados só para fins profissionais;
  • Prever que a mera tentativa de Burlar também é uma infração as normas;
  • Deixar clara proibição de infração de direitos autorais, prática de pirataria, pornografia, pedofilia, guarda, manuseio de conteúdos ilícitos ou de origem duvidosa e que a empresa vai colaborar com as autoridades;
  • Tratar sobre a má conduta (infração mais ética do que jurídica);
  • Prever a publicidade da norma (sua divulgação);
  • Deixar claro papéis e responsabilidades;
  • Definir Aplicabilidade;
  • Gerar assinatura física e/ou eletrônica do Termo de Ciência;
  • Deixar claro que é a empresa que detém a propriedade dos Recursos, bem como direitos autorais das criações e demais proteções de ativos intangíveis;
  • Reforçar dever de Confidencialidade e Sigilo Profissional;
  • Determinar possibilidade de Processo Disciplinar;
  • Determinar requisito de inserção de cláusulas específicas em contratos (se possível, atualizar contrato de trabalho para prever monitoramento);
  • Prever procedimento de Resposta a Incidentes de SI (se algo ocorrer, o que fazer, como coletar as provas sem cometer infração a Privacidade ou crime de interceptação.
  • Tratar da questão da mobilidade;
  • Implementar vacinas legais (avisos) nas próprias interfaces gráficas.

Autoria da Tabela: PATRICIA PECK PINHEIRO ADVOGADOS - 2009

 



Compartilhe

Submit to FacebookSubmit to TwitterSubmit to LinkedIn