Como parte das atividades acadêmicas do IMT é natural o desenvolvimento de projetos de ensino e pesquisa que empregam a coleta de dados pessoais (imagens capturadas pelas câmeras) e informações sobre variáveis biométricas monitoradas por dispositivos inteligentes no Campus. O objetivo deste documento é orientar as regras a serem seguidas pelos projetos para que estejam em conformidade com a política de segurança da informação do IMT e com a legislação brasileira. A necessidade das regras apresentadas surge do fato que os dados biométricos de pessoas naturais são dados pessoais sensíveis de acordo com a Lei Geral de Proteção de Dados (LGPD), com princípios e requisitos mais rigorosos para o seu tratamento. Também é uma decorrência natural dos riscos que o vazamento ou mal uso representam para os titulares dos dados comprometidos. Os projetos de ensino e pesquisa que empreguem coletas de imagem ou façam sensoriamento de variáveis biométricas no Campus do IMT devem ser informados ao DPO do IMT e a Gerência de Tecnologia da Informação (GTI). Com base nas informações fornecidas sobre o projeto, o DPO IMT e a GTI poderão solicitar mudanças no projeto, apontar riscos e requisitar medidas de tratamento apropriadas. A coleta de imagens e de informações de sensoriamento deve se restringir ao estritamente necessário para os objetivos do projeto, inclusive a área onde a coleta será realizada deverá ser devidamente delimitada e sinalizada. O projeto não deve incluir a coleta de imagens e informações em áreas consideradas restritas por questões de segurança (portaria, postos de vigilância e instalações administrativas do Campus) e nem de áreas onde há passagem obrigatória de pessoas e veículos (que não terão como fornecer seu consentimento prévio ou evitar a captura se não concordarem com ela). Também não deverão ser coletadas imagens e informações em áreas fechadas do Campus onde exista expectativa de privacidade. As imagens e informações biométricas deverão ter uso compatível com o apresentado na sinalização indicativa de sua área de coleta, sob a responsabilidade do coordenador da área de ensino ou pesquisa ao qual o projeto está associado. Em nenhuma hipótese, o projeto poderá fazer uso das imagens e informações biométricas em desacordo com a legislação brasileira, em particular, a Lei Geral de Proteção de Dados. Em caso de dúvidas, devem ser consultados o DPO IMT e a GTI. As imagens e informações deverão ser armazenadas de forma apropriada e com acesso restrito as pessoas que participam do projeto. Em casos de incidentes envolvendo estas imagens e informações (ou que tenham sido registrados por meio delas), elas poderão ser solicitadas pelo DPO ou por GTI – Segurança da Informação para análise e uso como evidências. As imagens e informações biométricas só poderão ser transmitidas pela Internet, quando esta possibilidade estiver claramente sinalizada no local de coleta e com a aprovação da GTI e do DPO do IMT. Dispositivos que usem serviços em nuvem para o armazenamento e tratamento das imagens devem passar por uma homologação prévia de segurança pela GTI e pelo DPO IMT. Em nenhuma hipótese é permitido armazenar e tratar estas informações em ambientes inseguros ou sem conformidade com a Lei Geral de Proteção de Dados (LGPD). As imagens e informações só poderão ser compartilhadas ou divulgadas para outras partes, quando esta possibilidade estiver claramente sinalizada no local de coleta e com a aprovação prévia da GTI e do DPO do IMT. A GTI ou o DPO do IMT poderão estabelecer condições para a aprovação do compartilhamento das informações, como o uso de criptografia na comunicação ou a inclusão de cláusulas nos convênios entre as partes definindo a forma como o tratamento de dados pessoais será feito e as respectivas responsabilidades. Está vedado o acesso externo direto para controle dos dispositivos. O projeto deverá solicitar para a GTI o bloqueio das portas administrativas pelo Firewall ou prever configurações que só permitam o acesso de dentro do Campus. Qualquer exceção deverá ser aprovada previamente pela GTI e pelo DPO IMT. As imagens e informações biométricas coletadas por dispositivos instalados nos Campuses do IMT só poderão ser utilizadas para fins de divulgação em redes sociais e outras mídias, com o consentimento prévio por escrito (concessão do direito de uso de imagens) do DPO do IMT e das pessoas que aparecem nelas ou tiveram suas informações biométricas coletadas. O DPO do IMT poderá solicitar, quando julgar necessário, que o responsável pelo projeto elabore um relatório de impacto de privacidade para subsidiar a decisão de aprovação ou não da coleta das imagens e informações biométricas. As imagens e informações devem ser apagadas de forma segura quando não forem mais necessárias. Evidências do descarte ou dos procedimentos aplicados para este fim poderão ser solicitados pelo DPO do IMT e pela GTI. As câmeras de vigilância têm seu uso restrito à segurança física das pessoas e do Campus da Mauá e seguem as regulamentações pertinentes a esta atividade. Está vedado seu uso ou das imagens que coletam para projetos acadêmicos ou de pesquisa. Quaisquer situações decorrentes do projeto que possam ser consideradas incidentes de segurança ou violações de privacidade devem ser prontamente informadas ao DPO do IMT e a área de GTI – Segurança da Informação para o seu devido tratamento. |
RevisãoJean Marcos Barbosa de Souza Carlos Alberto Iglesia Bernardo AprovaçãoJoão Carlos Corrêa A GTI aprova esta política e autoriza sua publicação e vigênciaVersão: 1.0
|