® BuscaLegis.ccj.ufsc.br
Monitoramento do uso da Web: qual o limite da sua privacidade?
16/5/2003 - 2:30 Paulo
Barbosa Jr.
É notável como este assunto gera polêmica, mesmo depois de
tão discutido e abordado pela imprensa durante os casos de demissões que
ocorreram no ano passado em grandes organizações brasileiras, motivadas pelo
acesso de seus funcionários a conteúdos pornográficos ou “sem relação ao
negócio da empresa”.
Este é o típico assunto que nos faz figurar prontamente em
uma posição – já imaginou os prós e contras na visão da empresa e do seu
funcionário? George Orwell, em seu best-seller “1984” predizia uma sociedade
fantasticamente vigiada – protagonista de uma espécie de “Big Brother”.
Imaginemos você como diretor de uma empresa de tecnologia,
que está investindo um capital considerável no desenvolvimento de uma nova
solução para a telefonia celular. Pouco antes do lançamento do produto um dos
desenvolvedores entrega sua carta de demissão. Passado algum tempo, você
descobre que seu ex-funcionário foi empregado pela concorrência. Será que a
confidencialidade de suas informações foi comprometida?
É claro que há diversos meios de se transmitir informações,
são muitas as alternativas para um funcionário verdadeiramente mal
intencionado. Para conter estas ameaças existem diversos controles tecnológicos
e administrativos, que devem ser coordenados por uma Política de Segurança da
Informação. De qualquer forma, a redução da produtividade e a deterioração da
imagem da empresa são riscos evidentes quando ocorre o uso inapropriado de
recursos de monitoração.
Por outro lado, podemos considerar a própria legislação
brasileira como principal opositor às práticas de monitoração. O projeto de
Crimes de Informática, que tramita no Congresso Nacional não trata de crimes
por uso indevido de sistemas tecnológicos, trata apenas de crime de invasão,
intenção deliberada de transmitir vírus, ou dano dos dados.
O anteprojeto da AMCHAM/SP insere no artigo 151 do Código
Penal Brasileiro (Devassar indevidamente o conteúdo de correspondência fechada,
dirigida a outrem), uma cláusula que trata da inviolabilidade da
correspondência, o parágrafo 5º, prescrevendo :
§ 5º - Para todos os fins deste artigo, o correio eletrônico
equipara-se à correspondência fechada.
Equiparando-se o e-mail à correspondência fechada, o mesmo
se tornará inviolável, ou seja, em nenhuma hipótese poderá ser aberto pelo
empregador.
Para ilustrar o cenário acima citado, tomemos como exemplo
um caso registrado em uma grande instituição financeira no Brasil. Um funcionário
foi demitido em função da transmissão de uma mensagem pornográfica. No entanto,
o juiz da ação decidiu que não haveria razão para demiti-lo por justa causa, já
que a monitoração não é permitida legalmente.
Todos podem ter direito de acessar a interminável quantidade
de informações disponibilizadas pela Internet, desde que as regras sejam claras
e pré-estabelecidas, entendendo que a empresa disponibiliza recursos para seus
funcionários com a finalidade de que estes sejam utilizados em sintonia com os
interesses da companhia e não em atividades paralelas ou necessidades
particulares. Tratam-se as exceções, como, por exemplo, o uso da Internet como
instrumento educativo e em casos de real necessidade, como o uso de Internet
Banking.
Como solução a estas questões envolvendo o monitoramento do
uso de web, devemos estabelecer que todas as permissões, e as exceções devem
ser claramente estabelecidas em uma Política de Segurança da Informação,
suportada por um termo de aceitação das condições de trabalho assinado por
todos os funcionários, garantindo o reconhecimento às normas vigentes, e
fornecendo amparo legal à organização contra possíveis processos realizados por
funcionários demitidos devido ao não cumprimento destas regras.
Tendo em vista que o funcionário deve fazer uso estritamente
profissional dos equipamentos fornecidos pela corporação, a restrição de uso é
cabível, sendo que este controle se tornou necessidade primordial para a
contenção de prejuízos. Por outro lado, cabe à empresa garantir que o
monitoramento se configure com respeito aos funcionários e em sigilo,
restringindo ao máximo a divulgação destas informações e não configurando
qualquer tipo de perseguição ao funcionário. A monitoração por amostragem das
atividades rotineiras dos funcionários deve ser contínua e fazer parte da
gestão da segurança da informação.
Verificar a suspeita da ocorrência de vazamento de
informação configura uma atividade de investigação. Lembre-se que ninguém
poderá ser condenado por enviar informações confidenciais se: (1) não houver
uma definição clara do que é informação confidencial; (2) não houver uma regra
formal e reconhecida pelo funcionário de que estas informações consideradas
confidenciais não podem ser enviadas; e (3) não for evidenciado que a
organização possui controles que objetivam evitar a ocorrência destes eventos.
Na ocorrência de eventos de risco à organização, em decisões
que possam comprometer a estratégia do negócio, deve haver o envolvimento da
Alta Administração na homologação do plano de tratamento do risco. Seguindo
estas premissas, estou certo de que cada vez haverá menos investidas quanto à
privacidade do funcionário, e de que ficará extremamente difícil burlar as
regras estabelecidas na política tecnológica e administrativa da sua
organização.
Paulo Barbosa Jr. é consultor da Axur Information Security
Retirado de: http://www.infoguerra.com.br