A Política de Segurança da Informação (PSI) é um documento interno que, baseado na ISO 27001, estabelece diretrizes para o uso adequado dos recursos tecnológicos e a proteção dos ativos de informação de uma empresa. Essa política deve abranger todas as áreas da corporação e ser do conhecimento de todos os colaboradores.
A ampla divulgação de uma PSI deve compor o calendário de atividades de toda empresa que esteja inserida no contexto da sociedade digital. Dar notoriedade a esta política, realizando divulgações por e-mails, portal de intranet, mensagem em telas de logon, palestras de conscientização, entre outras formas, consolidam um alicerce forte que dá suporte às empresas que realizam o monitoramento de seus equipamentos, sistemas e serviços de rede fornecidos aos colaboradores para o exercício de suas atividades laborais.
É sabido que esse monitoramento pode ser realizado pelo empregador por ser ele responsável pelos atos de seus empregados (art. 932, III, CC). Desse modo, considero que seja sensata a fiscalização dos recursos computacionais de uma empresa. Além disso, conforme entendimento jurisdicional (TST – AIRR 613/2000), não existe expectativa de privacidade para os colaboradores em dispositivos e ferramentas disponibilizadas para o exercício de sua função. Somado a estes fatores, uma Política de Segurança da Informação, formalmente divulgada, reforça a segurança jurídica das empresas para realização do monitoramento de seus dispositivos informáticos.
Reforço: Toda empresa possui o direito de monitorar os recursos tecnológicos de sua propriedade que foram concedidos aos colaboradores para o exercício exclusivo de suas atividades profissionais.
Mas, ATENÇÃO!!!
A atividade de monitoramento não deve ser realizada de modo displicente ou sem fato motivador, nem muito menos para atender aos interesses pessoais de quem a realiza. A título de exemplo, cito que, apesar de uma área de TI possuir acesso a todas as mailboxes dos colaboradores, não é razoável que exista alguém nessa área que acesse o conteúdo dessas caixas de e-mail para atender ao seu bel-prazer. Ou que, sem fato motivador, um supervisor passe a monitorar de forma recorrente as conversas do Skype for Business de um subordinado, pois nesse último caso, dependendo do contexto, poderá haver a caracterização de um assédio moral.
Por fim, meu objetivo com esse artigo pode ser resumido com o seguinte ditado popular:
“O QUE É COMBINADO NÃO SAI CARO.”
Explico! É que no contexto do monitoramento de recursos tecnológicos, a PSI é o “combinado”. Através dela a empresa informa ao colaborador como os recursos devem ser utilizados e que, caso seja necessário, eles poderão ser monitorados/auditados. Já o colaborador demonstra ciência do conteúdo dessa PSI quando, por exemplo, seu nome consta na lista de presença da palestra de segurança da informação ou registra acesso a PSI divulgada na intranet. Se todos, empregado e empregador, andarem de acordo com o “combinado”, nenhum mal há de ocorrer. (rs)
P.S. Mantenham registros de divulgação da PSI. O modo como será feito vai depender de sua criatividade. Fazendo isso, quando uma pisada de bola fundamentar uma demissão por justa causa, o empregado não terá como alegar que “houve violação à intimidade e à privacidade”. Na verdade ele até pode alegar, mas com o amparo do Código Civil e de uma boa PSI é pouco provável que o juiz aceite.
1 Comentários
Pingback: ARTICULISTA NO PORTAL PROFISSIONAIS TI – Elvis Romão