O Tribunal Superior do Trabalho (TST) aprovou o monitoramento dos empregados no ambiente de trabalho por meio da utilização de câmeras. Apesar de a Lei Geral de Proteção de Dados (LGPD) ter entrado em vigor em 2021, muitos profissionais ainda desconhecem as normas, aplicações e os limites que ela determina a respeito do armazenamento e do tratamento de dados.
De acordo com uma pesquisa divulgada pelo Comitê Gestor da Internet no Brasil, em agosto de 2022, apenas 23% das empresas brasileiras criaram uma área específica ou funcionários responsáveis por proteção de dados pessoais, demonstrando a baixa preocupação quanto à regulação da segurança da informação, o que pode resultar em problemas futuros.
Considerando o dado acima, é necessário que as instituições dêem cada vez mais a devida atenção para a inserção de uma política de privacidade efetiva, determinando a razão da obtenção dos dados e sua utilização. A segurança deve sempre estar atrelada à adoção de boas práticas, independentemente de certificação, para garantir a proteção das informações.
Assim, alguns aspectos precisam ser considerados, como a realização da classificação das informações e o sigilo em todas as etapas; permissão (ou não) da utilização de dispositivos móveis nos locais de captação e armazenamento das imagens; utilização da criptografia e do antivírus para garantir a segurança na transmissão dos dados; gestão de cabeamento, terceirização no processo e outros dados que impactam diretamente a integridade e gestão dos processos de obtenção, tratamento e transmissão das imagens; planejamento e gestão de incidentes de segurança, caso ocorra um vazamento ou perda de dados.
E, ao se tratar do processo de captação de imagens, a empresa responsável pelos arquivos do videomonitoramento precisa estar atenta aos princípios básicos da segurança da informação, tais como:
- definição da finalidade das imagens para adequar a coleta de dados por meio do posicionamento das câmeras;
- verificação de câmeras em áreas que não demandam monitoramento, evidenciando a boa intenção da empresa e a sua adequação às leis de coleta de informações;
- tratamento e transmissão das imagens;
- ter uma política de privacidade clara e que seja comunicada internamente e externamente;
- não favorecer no processo algum fator relacionado aos dados pessoais sensíveis.
Também é preciso considerar o planejamento e gestão de incidentes de segurança, caso ocorra um vazamento ou perda de dados. Para isso, é fundamental definir corretamente quem são os responsáveis pelo armazenamento das informações da política de privacidade e a sua disponibilização à autoridade nacional.
Por fim, outra exigência estabelecida pela LGPD é a elaboração do relatório de impacto à proteção de dados pessoais. Nele, tem que estar em evidência a análise do cenário de riscos nas operações de tratamento de dados pessoais e a adoção de medidas para mitigá-los. Mediante isso, é primordial que o documento englobe a descrição dos tipos de dados obtidos, metodologia para o levantamento e garantia da segurança das informações, análise sobre as medidas adotadas, medidas de gerenciamento de riscos e identificação dos agentes de tratamento.
Cristiano Felicíssimo, vice-presidente de design de projetos da Seal Telecom na América Latina.
