sábado, maio 30, 2009

A Privacidade como Limitadora do Monitoramento Digital

A Privacidade como Limitadora do Monitoramento Digital

Segue abaixo um pequeno artigo de minha autoria que foi publicado na revista Antebellum de Março/Abril de 2009. A revista Antebellum é editada pela ISSA (Information Security System Association). Ela é uma entidade internacional que agrega profissionais de Segurança da Informação. Ela é composta essencialmente por profissionais atuantes na área da informática e não do direito. Mesmo assim, há uma relação bastante grande entre as duas áreas, visto que grande parte das práticas de segurança devem ser acompanhadas pelo direito.

Meus agredecimentos especiais ao Eduardo Vianna Camargo Neves. Além de diretor da regional sul da ISSA, ele mantém também um dos melhores blogs sobre segurança da informação disponível em http://camargoneves.com/. O Eduardo, gentilmente, convidou-me para participar dessa edição da Revista Antebellum, o que foi motivo de muita satisfação de minha parte.

O PDF da revista pode ser baixado diretamente em http://www.issabrasil.org/antebellum/


A privacidade como limitador do monitoramento digital

O tema da privacidade é bastante extenso e complexo. Não temos aqui a pretensão de esgotar o tema mas sim, fazer breves comentários sobre o assunto. Sabemos que os limites do monitoramento digital dentro do ambiente empresarial esbarram na privacidade e na intimidade dos colaboradores. Mesmo nas empresas, os colaboradores ainda detém estes direitos e em caso de monitoramento, este deve ser feito sob circunstâncias bastante controladas e previamente definidas.

A privacidade e intimidade são direitos protegidos pela nossa Constituição. São alguns dos chamados Direitos da Personalidade. Eles são alguns dos direitos mais básicos da pessoa humana sendo necessários para a preservação da honra e da vida privada. Cabe lembrar que a privacidade é irrenunciável e a sua limitação deve ocorrer por vontade expressa da pessoa, de forma específica e limitada a um determinado fim. As eventuais renúncias (como as necessárias para o monitoramento digital nas empresas) não podem ser gerais, inespecíficas, permanentes, ilimitadas ou abusivas.

Ao mesmo tempo, o empregador tem o direito de monitorar sua estrutura computacional; até porque ele responde pelos atos dos empregados quando estes o praticam sob sua estrutura. O monitoramento da atividade dos empregados tem a função preventiva de identificar potenciais desvios ou riscos para atividade. Vemos, portanto, que os dois direitos (privacidade X direito de monitorar) devem coexistir em harmonia sem que um se sobreponha ao outro. No entanto como fazer com que eles convivam em harmonia?

Em primeiro lugar, o monitoramento deve ser previsto nas Políticas de TI da empresa. A própria ISO 27002 fala em seu item 10.10 sobre a observância de requisitos legais da atividade de monitoramento. Além do mais, o monitoramento deve ser comunicado antecipadamente a sua realização, através de termos de ciência, do contrato de trabalho ou ainda através dos logon banners. Isto tudo para afastar qualquer expectativa de privacidade que o empregado possa ter na utilização dos recursos. No caso de relações entre empresas, se houver necessidade de monitoramento ou interceptação de comunicações (incluo aqui os famosos penetration tests), tal deve ser expressamente previsto em contrato, para evitar a quebra ilegal da privacidade.

Outro ponto importante é a questão do uso pessoal dos recursos da empresa. Se a empresa permite que o funcionário use sua estrutura para atividades pessoais (incluindo acesso a homebanking, comunicações com parentes, advogados ou médicos), tais comunicações não podem ser objeto de monitoramento. A operacionalização desta limitação pode ser um problema para a equipe, sendo a proibição do uso pessoal recomendada.

O monitoramento deve ser feito de maneira mais impessoal possível, automática e sem representar perseguição ou abuso de poder por parte do empregador. Alerta-se que se o empregador comunica que vai monitorar, deve sempre monitorar em bases periódicas, sem discriminação entre cargos ou setores. Caso isso não aconteça há o risco do empregado alegar perseguição, se conseguir provar que o empregador nunca monitorou nenhum funcionário, em nenhuma circunstância, mas em contrapartida monitorou excessivamente um único funcionário. Já publicação de logs e produtos de monitoramento dentro da empresa, como acontece em algumas situações, além de potencialmente causar danos morais ao empregado caso revele informações pessoais, pode até configurar o conhecido assédio moral.

A produção de provas digitais (leia-se aqui também a produção de logs ou monitoramentos) com o desrespeito ao direito à privacidade, torna a prova nula obtida nula, prejudicando os fatos que dependem daquela prova. É a chamada prova ilegal. Além do mais há que se ter bastante cuidado com o monitoramento eis que, quando não autorizado ou feito de maneira desregrada, mesmo no ambiente empresarial, pode tipificar o crime de interceptação telemática ilegal, punido com pena de reclusão de 2 a 4 anos.

2 comentários:

  1. Gostamos muito dos artigos do seu Blog. Quando for possível dá uma passadinha para ver nosso novo serviço para divulgar o site de pessoas físicas e jurídicas. Arth Informática

    ResponderExcluir
  2. Gostamos muito dos artigos do seu Blog. Quando for possível dá uma passadinha para ver nosso novo serviço para divulgar o site de pessoas físicas e jurídicas. Arth Informática

    ResponderExcluir

Related Posts Plugin for WordPress, Blogger...