Introdução
Como parte das atividades acadêmicas do IMT
é natural o desenvolvimento de projetos de
ensino e pesquisa que empregam a coleta de
dados pessoais (imagens capturadas pelas
câmeras) e informações sobre variáveis
biométricas monitoradas por dispositivos
inteligentes no Campus.
O objetivo deste documento é orientar as
regras a serem seguidas pelos projetos para
que estejam em conformidade com a política
de segurança da informação do IMT e com a
legislação brasileira.
A necessidade das regras apresentadas surge
do fato que os dados biométricos de pessoas
naturais são dados pessoais sensíveis de
acordo com a Lei Geral de Proteção de Dados
(LGPD), com princípios e requisitos mais
rigorosos para o seu tratamento. Também é
uma decorrência natural dos riscos que o
vazamento ou mal uso representam para os
titulares dos dados comprometidos.
Informar a existência do projeto
Os projetos de ensino e pesquisa que
empreguem coletas de imagem ou façam
sensoriamento de variáveis biométricas no
Campus do IMT devem ser informados ao DPO do
IMT e a Gerência de Tecnologia da Informação
(GTI).
Com base nas informações fornecidas sobre o
projeto, o DPO IMT e a GTI poderão solicitar
mudanças no projeto, apontar riscos e
requisitar medidas de tratamento
apropriadas.
Limitação da coleta dos dados pessoais ao
essencial
A coleta de imagens e de informações de
sensoriamento deve se restringir ao
estritamente necessário para os objetivos do
projeto, inclusive a área onde a coleta será
realizada deverá ser devidamente delimitada
e sinalizada.
Respeitar áreas restritas ou onde há
expectativa de privacidade
O projeto não deve incluir a coleta de
imagens e informações em áreas consideradas
restritas por questões de segurança
(portaria, postos de vigilância e
instalações administrativas do Campus) e nem
de áreas onde há passagem obrigatória de
pessoas e veículos (que não terão como
fornecer seu consentimento prévio ou evitar
a captura se não concordarem com ela).
Também não deverão ser coletadas imagens e
informações em áreas fechadas do Campus onde
exista expectativa de privacidade.
Uso das Imagens e Informações Capturadas
As imagens e informações biométricas deverão
ter uso compatível com o apresentado na
sinalização indicativa de sua área de
coleta, sob a responsabilidade do
coordenador da área de ensino ou pesquisa ao
qual o projeto está associado.
Em nenhuma hipótese, o projeto poderá fazer
uso das imagens e informações biométricas em
desacordo com a legislação brasileira, em
particular, a Lei Geral de Proteção de
Dados. Em caso de dúvidas, devem ser
consultados o DPO IMT e a GTI.
Armazenamento das Imagens e Informações
Biométricas
As imagens e informações deverão ser
armazenadas de forma apropriada e com acesso
restrito as pessoas que participam do
projeto. Em casos de incidentes envolvendo
estas imagens e informações (ou que tenham
sido registrados por meio delas), elas
poderão ser solicitadas pelo DPO ou por GTI
– Segurança da Informação para análise e uso
como evidências.
Transmissão pela Internet
As imagens e informações biométricas só
poderão ser transmitidas pela Internet,
quando esta possibilidade estiver claramente
sinalizada no local de coleta e com a
aprovação da GTI e do DPO do IMT.
Dispositivos que usem serviços em nuvem para
o armazenamento e tratamento das imagens
devem passar por uma homologação prévia de
segurança pela GTI e pelo DPO IMT. Em
nenhuma hipótese é permitido armazenar e
tratar estas informações em ambientes
inseguros ou sem conformidade com a Lei
Geral de Proteção de Dados (LGPD).
Compartilhamento ou Divulgação para outras
Partes
As imagens e informações só poderão ser
compartilhadas ou divulgadas para outras
partes, quando esta possibilidade estiver
claramente sinalizada no local de coleta e
com a aprovação prévia da GTI e do DPO do
IMT.
A GTI ou o DPO do IMT poderão estabelecer
condições para a aprovação do
compartilhamento das informações, como o uso
de criptografia na comunicação ou a inclusão
de cláusulas nos convênios entre as partes
definindo a forma como o tratamento de dados
pessoais será feito e as respectivas
responsabilidades.
Acesso Externo Direto aos Dispositivos de
Captura
Está vedado o acesso externo direto para
controle dos dispositivos. O projeto deverá
solicitar para a GTI o bloqueio das portas
administrativas pelo Firewall ou prever
configurações que só permitam o acesso de
dentro do Campus.
Qualquer exceção deverá ser aprovada
previamente pela GTI e pelo DPO IMT.
Uso para Fins de Marketing
As imagens e informações biométricas
coletadas por dispositivos instalados nos
Campuses do IMT só poderão ser utilizadas
para fins de divulgação em redes sociais e
outras mídias, com o consentimento prévio
por escrito (concessão do direito de uso de
imagens) do DPO do IMT e das pessoas que
aparecem nelas ou tiveram suas informações
biométricas coletadas.
Relatório de Impacto de Privacidade
O DPO do IMT poderá solicitar, quando julgar
necessário, que o responsável pelo projeto
elabore um relatório de impacto de
privacidade para subsidiar a decisão de
aprovação ou não da coleta das imagens e
informações biométricas.
Descarte das Imagens e Informações
As imagens e informações devem ser apagadas
de forma segura quando não forem mais
necessárias. Evidências do descarte ou dos
procedimentos aplicados para este fim
poderão ser solicitados pelo DPO do IMT e
pela GTI.
Uso de Câmeras de Vigilância do Campus
As câmeras de vigilância têm seu uso
restrito à segurança física das pessoas e do
Campus da Mauá e seguem as regulamentações
pertinentes a esta atividade. Está vedado
seu uso ou das imagens que coletam para
projetos acadêmicos ou de pesquisa.
Incidentes de Segurança ou de Violação de
Privacidade
Quaisquer situações decorrentes do projeto
que possam ser consideradas incidentes de
segurança ou violações de privacidade devem
ser prontamente informadas ao DPO do IMT e a
área de GTI – Segurança da Informação para o
seu devido tratamento.
|
