Leis de Monitoramento Online e Considerações de Conformidade com a Privacidade
Última atualização: maio de 2026
O software de monitoramento online pode ajudar as organizações a proteger os recursos da empresa, melhorar a produtividade e entender como o trabalho digital é realizado. No entanto, monitorar funcionários, dispositivos, atividades online ou comunicações pode envolver dados pessoais e regras de privacidade no local de trabalho.
Esta página fornece uma visão geral das considerações de privacidade e conformidade relacionadas ao uso autorizado de software de monitoramento. Ela destaca temas comuns encontrados nas principais estruturas de privacidade e monitoramento no local de trabalho, como transparência, finalidade legal, minimização de dados, segurança, retenção e aviso ao usuário.
Os requisitos específicos podem variar dependendo do país, estado, setor, propriedade do dispositivo, tipo de dados coletados e de como o monitoramento é configurado.
Aviso legal: Esta página é fornecida apenas para fins informativos gerais e não constitui aconselhamento jurídico. As leis de privacidade, monitoramento no local de trabalho, trabalho e comunicações eletrônicas variam conforme a jurisdição e podem depender do caso de uso específico, propriedade do dispositivo, setor, aviso ao funcionário, requisitos de consentimento e tipo de dados coletados.
A Spyrix não determina se uma configuração específica de monitoramento é legal para sua organização. Antes de usar software de monitoramento, você deve revisar as leis aplicáveis e as políticas internas, notificar os usuários quando exigido, limitar o monitoramento a finalidades necessárias e legítimas e consultar assessoria jurídica qualificada quando apropriado.
Estruturas Globais e Regionais de Privacidade
GDPR (Regulamento Geral de Proteção de Dados - União Europeia)
O GDPR é o principal regulamento de proteção de dados da União Europeia. Ele pode aplicar-se a organizações dentro ou fora da UE quando elas processam dados pessoais de uma forma que se enquadra no escopo territorial do GDPR, incluindo certos casos envolvendo indivíduos na UE. O monitoramento de atividades online, o monitoramento de funcionários e outras formas de rastreamento digital podem entrar em seu escopo quando envolvem dados pessoais.
Nos termos do GDPR, as atividades de monitoramento geralmente exigem uma base legal válida e devem ser necessárias, proporcionais e transparentes. Dependendo do contexto, as organizações podem se basear em uma base legal como interesses legítimos, necessidade contratual, obrigação legal ou consentimento. Em contextos de emprego, o consentimento nem sempre pode ser apropriado devido à relação entre empregador e funcionário.
Ao se basearem em interesses legítimos, as organizações devem avaliar e documentar se a finalidade do monitoramento é legal, necessária e equilibrada em relação aos direitos e liberdades dos indivíduos envolvidos. Quando o monitoramento provavelmente resultar em alto risco aos direitos e liberdades dos indivíduos, uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) pode ser necessária.
A transparência é essencial. Os indivíduos geralmente devem ser informados com antecedência sobre o tipo de monitoramento, a finalidade, as categorias de dados coletados, a base legal, quem pode acessar os dados e por quanto tempo os dados serão retidos. O monitoramento oculto ou não divulgado é altamente sensível, pode ser ilegal em muitos casos e deve ser avaliado separadamente de acordo com as leis locais aplicáveis.
O GDPR também enfatiza a minimização de dados, exigindo que as organizações coletem apenas os dados pessoais necessários para uma finalidade definida. O monitoramento contínuo ou excessivamente invasivo sem uma justificativa clara pode entrar em conflito com os princípios do GDPR.
Para ferramentas de monitoramento online, as considerações mais relevantes do GDPR geralmente incluem:
Fornecer aviso claro sobre o monitoramento quando exigido
Coletar apenas dados necessários e relevantes
Usar medidas de segurança técnicas e organizacionais adequadas
Identificar e documentar a base legal para o processamento
Avaliar interesses legítimos ou processamento de maior risco quando aplicável
Permitir que os indivíduos exerçam direitos de privacidade aplicáveis, como acesso, exclusão, oposição ou restrição
Fontes oficiais:
Regulamento (UE) 2016/679 - Regulamento Geral de Proteção de Dados Texto oficial do GDPR publicado no EUR-Lex.
Diretrizes 3/2018 do EDPB sobre o escopo territorial do GDPR Explica quando o GDPR pode se aplicar a organizações dentro e fora da UE.
Diretrizes 05/2020 do EDPB sobre consentimento nos termos do Regulamento 2016/679 Fornece orientação sobre consentimento válido nos termos do GDPR.
Comissão Europeia - Quando é necessária uma Avaliação de Impacto sobre a Proteção de Dados? Explica quando uma DPIA pode ser necessária para processamento de dados pessoais de maior risco.
EDPS - Uso privado de comunicações eletrônicas no local de trabalho Fornece orientação relacionada a comunicações no local de trabalho, expectativas de privacidade e monitoramento proporcional.
Diretrizes de Privacidade da OCDE (Organização para a Cooperação e Desenvolvimento Econômico)
As Diretrizes de Privacidade da OCDE fornecem princípios internacionalmente reconhecidos para privacidade e proteção de dados pessoais. Elas não são juridicamente vinculativas da mesma forma que leis nacionais ou regionais, mas influenciaram estruturas de privacidade e políticas de proteção de dados em muitos países.
As diretrizes enfatizam princípios centrais de privacidade, como limitação da coleta, qualidade dos dados, especificação da finalidade, limitação de uso, salvaguardas de segurança, abertura, participação individual e responsabilidade. Esses princípios apoiam o tratamento responsável de dados e incentivam as organizações a coletar e usar dados pessoais apenas para finalidades claras, definidas e apropriadas.
Para monitoramento online e de funcionários, as Diretrizes de Privacidade da OCDE não fornecem regras detalhadas específicas para monitoramento. No entanto, oferecem uma estrutura de privacidade útil para avaliar se as práticas de monitoramento são transparentes, limitadas a uma finalidade legítima, protegidas por salvaguardas adequadas e responsáveis.
Embora as Diretrizes de Privacidade da OCDE não sejam aplicáveis coercitivamente como o GDPR, elas continuam sendo um importante ponto de referência internacional para o processamento de dados responsável e consciente da privacidade.
Na prática, esses princípios podem ajudar as organizações a considerar se devem:
Comunicar claramente as práticas de monitoramento
Limitar a coleta de dados ao que é necessário para uma finalidade definida
Proteger os dados monitorados contra acesso não autorizado
Fornecer aos indivíduos informações adequadas sobre como seus dados são usados
Revisar regularmente as práticas de monitoramento quanto à justiça, necessidade e proporcionalidade
Fontes oficiais:
Diretrizes da OCDE sobre a Proteção da Privacidade e Fluxos Transfronteiriços de Dados Pessoais Publicação oficial da OCDE contendo os princípios de privacidade e a estrutura relacionada.
OCDE - Privacidade e Proteção de Dados Página de visão geral da OCDE explicando o papel das Diretrizes de Privacidade nas estruturas globais de privacidade e proteção de dados.
Estados Unidos
Nos Estados Unidos, o monitoramento no local de trabalho e online é regido por uma combinação de leis federais, leis estaduais de privacidade, regras de comunicações eletrônicas, requisitos de salários e horas e regulamentações específicas do setor. Não há uma única lei nacional de monitoramento de funcionários que abranja todas as situações. Os requisitos podem variar dependendo do estado, do tipo de dados coletados, se as comunicações são interceptadas ou acessadas, se o dispositivo é de propriedade da empresa ou pessoal e de como os dados de monitoramento são usados.
Estrutura | Onde se aplica | Escopo do monitoramento | Considerações comuns de conformidade | Por que isso pode importar para software de monitoramento |
|---|---|---|---|---|
CCPA / CPRA | Califórnia; empresas abrangidas | Coleta e uso de informações pessoais, incluindo certas informações pessoais de funcionários, candidatos, contratados, dispositivos, atividades online e informações pessoais sensíveis | Aviso no momento da coleta, divulgações na política de privacidade, direitos de acesso/exclusão/correção, direitos de opt-out quando aplicável, limites para certos usos de informações pessoais sensíveis | Relevante quando o monitoramento coleta identificadores, dados de dispositivos, atividade na Internet ou em aplicativos, geolocalização, dados comportamentais ou outras informações pessoais de residentes da Califórnia |
ECPA e regras federais relacionadas a comunicações eletrônicas | Lei federal dos EUA; leis estaduais sobre interceptação e comunicações também podem ser aplicáveis | Interceptação ou acesso a comunicações eletrônicas, como e-mail, chat, chamadas, mensagens ou certas comunicações online | Evitar interceptação ou acesso não autorizado; avaliar se consentimento, autorização, exceções de provedor ou exceções de finalidade comercial podem ser aplicáveis; revisar regras estaduais específicas de consentimento e interceptação | Altamente relevante para monitoramento de comunicações, revisão de e-mail/chat, captura de conteúdo da tela, registro de pressionamentos de teclas e ferramentas que possam capturar conteúdo de mensagens |
Regras de salários e horas relacionadas à FLSA | Lei federal dos EUA; leis estaduais de salários também podem ser aplicáveis | Uso de dados de monitoramento, presença, atividade ou controle de tempo para horas de trabalho, folha de pagamento, horas extras ou decisões de produtividade | Registros de tempo e atividade devem apoiar cálculos salariais precisos; funcionários não isentos devem ser pagos por todas as horas trabalhadas; empregadores devem evitar desencorajar o registro preciso do tempo | Relevante quando os dados de monitoramento são usados para calcular tempo de trabalho, verificar presença, revisar horas extras ou apoiar decisões relacionadas à folha de pagamento e salários |
Leis estaduais específicas de monitoramento eletrônico e privacidade | Variam por estado; exemplos incluem Nova York, Connecticut e Delaware para regras de aviso de monitoramento de funcionários | Monitoramento eletrônico de comunicações de funcionários, uso da Internet, sistemas de computador, dispositivos do local de trabalho ou outros dados pessoais | Alguns estados exigem aviso escrito ou eletrônico, confirmação do funcionário, aviso afixado no local de trabalho ou linguagem específica na política; outras leis estaduais de privacidade podem acrescentar obrigações para dados sensíveis, dados biométricos ou direitos do consumidor | Empregadores que atuam em vários estados não devem depender apenas de uma política genérica dos EUA; podem precisar de avisos específicos por estado, linguagem de consentimento, regras de retenção e controles internos de acesso |
Fontes oficiais:
Departamento de Justiça da Califórnia - California Consumer Privacy Act (CCPA) Visão geral oficial do DOJ da Califórnia sobre direitos da CCPA, avisos exigidos, direitos de opt-out, direitos de correção, direitos de exclusão e direitos relativos a informações pessoais sensíveis.
Agência de Proteção da Privacidade da Califórnia - Leis e Regulamentos Página oficial da Agência de Proteção da Privacidade da Califórnia para regulamentos e elaboração de normas da CCPA/CPRA.
Código dos EUA - 18 U.S.C. Seção 2511: Interceptação e divulgação de comunicações por fio, orais ou eletrônicas proibidas Texto oficial do Código dos EUA relacionado à interceptação de comunicações eletrônicas.
Departamento de Justiça dos EUA - Lei de Privacidade das Comunicações Eletrônicas de 1986 Visão geral do DOJ sobre a ECPA e sua relação com comunicações eletrônicas e digitais.
Departamento do Trabalho dos EUA - Boletim de Assistência de Campo nº 2020-5 Orientação oficial do DOL relacionada ao rastreamento e à compensação de horas trabalhadas, incluindo situações de trabalho remoto.
Lei de Direitos Civis de Nova York Seção 52-c - Empregadores envolvidos em monitoramento eletrônico; aviso prévio obrigatório Lei oficial de Nova York que exige aviso prévio para determinado monitoramento eletrônico de funcionários.
Estatutos Gerais de Connecticut Seção 31-48d - Aviso de monitoramento eletrônico Estatuto oficial de Connecticut que trata dos requisitos de aviso para empregadores envolvidos em monitoramento eletrônico.
Código de Delaware Título 19 Seção 705 - Aviso de monitoramento de transmissões telefônicas, correio eletrônico e uso da Internet Lei oficial de Delaware que trata dos requisitos de aviso para monitoramento de telefone, e-mail e uso da Internet.
Canadá
PIPEDA (Lei de Proteção de Informações Pessoais e Documentos Eletrônicos)
A PIPEDA aplica-se a muitas organizações do setor privado no Canadá que coletam, usam ou divulgam informações pessoais no curso de atividades comerciais. Para informações pessoais de funcionários, a PIPEDA geralmente se aplica a locais de trabalho regulamentados federalmente, enquanto algumas províncias têm suas próprias leis de privacidade do setor privado.
A PIPEDA pode abranger informações pessoais coletadas por meio de monitoramento online ou de funcionários, incluindo identificadores, dados de dispositivos, atividade online, uso de aplicativos, dados relacionados a comunicações e registros de produtividade.
As organizações devem identificar uma finalidade clara para o monitoramento, limitar a coleta ao que é necessário e tratar as informações pessoais de forma transparente.
Quando o consentimento for exigido, ele deve ser significativo e baseado em informações claras sobre quais dados são coletados, por que são coletados, como serão usados e quem poderá acessá-los.
Os funcionários geralmente devem ser informados sobre o que é monitorado, por que o monitoramento é usado, como as informações serão usadas e por quanto tempo poderão ser retidas.
As informações pessoais coletadas por meio do monitoramento devem ser protegidas com salvaguardas de segurança adequadas.
Leis Provinciais de Privacidade (Alberta PIPA, British Columbia PIPA, Lei 25 de Quebec)
Alberta, Colúmbia Britânica e Quebec têm leis de privacidade do setor privado que podem ser aplicáveis dentro de suas respectivas províncias.
Essas leis geralmente seguem princípios de privacidade semelhantes, como finalidade razoável, coleta limitada, transparência, direitos de acesso, limites de retenção e salvaguardas adequadas.
Para o monitoramento de funcionários, os requisitos podem depender da província, do tipo de local de trabalho, da finalidade do monitoramento, da sensibilidade dos dados e de o monitoramento ser razoável para gerenciar a relação de emprego.
Os empregadores devem informar os funcionários antes de coletar informações pessoais por meio de ferramentas de monitoramento quando exigido.
Algumas províncias podem exigir políticas ou avisos que expliquem quais informações pessoais são coletadas, por que são coletadas, por quanto tempo são retidas e quem pode acessá-las.
Organizações que atuam em várias províncias canadenses devem revisar os requisitos federais e provinciais antes de implementar software de monitoramento.
Fontes oficiais:
Gabinete do Comissário de Privacidade do Canadá - PIPEDA Visão geral oficial da lei federal de privacidade do setor privado do Canadá.
Gabinete do Comissário de Privacidade do Canadá - Privacidade no Local de Trabalho Orientação sobre privacidade no local de trabalho, informações pessoais de funcionários e responsabilidades dos empregadores.
Gabinete do Comissário de Privacidade do Canadá - Diretrizes para Obtenção de Consentimento Significativo Orientação sobre consentimento significativo de acordo com a lei canadense de privacidade do setor privado.
Governo de Alberta - Lei de Proteção de Informações Pessoais Página oficial do governo de Alberta sobre a lei de privacidade do setor privado de Alberta.
Governo de Alberta - Informações Pessoais de Funcionários Orientação sobre como a PIPA de Alberta se aplica a informações pessoais de funcionários.
BC Laws - Lei de Proteção de Informações Pessoais Texto oficial da Lei de Proteção de Informações Pessoais da Colúmbia Britânica.
Legis Quebec - Lei relativa à proteção de informações pessoais no setor privado Texto oficial da lei de privacidade do setor privado de Quebec.
Reino Unido
UK GDPR
Aplica-se ao processamento de dados pessoais no Reino Unido, incluindo monitoramento de funcionários e de atividades online.
Exige uma base legal clara para o monitoramento, como interesses legítimos, obrigação legal, necessidade contratual ou consentimento quando apropriado.
O monitoramento deve ser necessário, proporcional, transparente e não excessivamente intrusivo.
Os empregadores devem realizar uma avaliação de risco e podem precisar concluir uma Avaliação de Impacto sobre a Proteção de Dados (DPIA) quando o monitoramento provavelmente criar alto risco para os indivíduos, como rastreamento contínuo, keylogging ou outro monitoramento intrusivo.
Os funcionários geralmente devem saber o que é monitorado, por que é monitorado, quais dados são coletados, como serão usados, quem poderá acessá-los e por quanto tempo serão armazenados.
Lei de Proteção de Dados de 2018
Complementa o UK GDPR e fornece regras, condições e exceções adicionais para o processamento de dados pessoais.
Inclui disposições relevantes para dados de categoria especial, dados sobre infrações penais, processamento relacionado ao emprego e processamento por autoridades de aplicação da lei.
Reforça princípios como minimização de dados, limitação de finalidade, segurança, responsabilidade e direitos individuais.
Os indivíduos geralmente têm direitos de acesso aos seus dados pessoais e, em alguns casos, de se opor a certos tipos de processamento.
RIPA e Regras Relacionadas de Interceptação
A Lei de Regulamentação dos Poderes de Investigação de 2000 e as regras relacionadas de interceptação do Reino Unido regulam certos tipos de interceptação e acesso a comunicações.
A interceptação de comunicações pode ser restrita, a menos que haja autoridade legal, consentimento ou outra base legal ou exceção aplicável.
Para o monitoramento no local de trabalho, o monitoramento de comunicações deve ser avaliado cuidadosamente, especialmente quando puder envolver e-mail, chat, chamadas, mensagens ou outro conteúdo de comunicações.
O monitoramento oculto ou não divulgado é altamente sensível, pode ser ilegal em muitos casos e deve ser considerado apenas em circunstâncias excepcionais, com justificativa clara e revisão jurídica adequada.
Orientação da ICO sobre Práticas de Emprego
O Gabinete do Comissário de Informação do Reino Unido fornece orientação sobre o monitoramento de trabalhadores e o tratamento de dados pessoais de funcionários.
A ICO enfatiza que o monitoramento deve ser direcionado, proporcional, justificado por uma finalidade clara e não excessivo.
Os empregadores devem considerar o impacto sobre os trabalhadores antes de introduzir ferramentas de monitoramento, especialmente quando o monitoramento for intrusivo ou contínuo.
Os empregadores devem criar políticas escritas claras explicando o que é monitorado, por que é monitorado, como os dados são usados, quem pode acessá-los e por quanto tempo são retidos.
A orientação enfatiza transparência, responsabilidade, consulta quando apropriado e respeito às expectativas razoáveis de privacidade dos trabalhadores.
Fontes oficiais:
ICO - Práticas de emprego e proteção de dados: monitoramento de trabalhadores Central oficial de orientação da ICO sobre práticas de emprego, incluindo monitoramento de trabalhadores e obrigações relacionadas à proteção de dados.
ICO - Um guia sobre base legal Orientação da ICO sobre bases legais para o processamento de dados pessoais de acordo com o UK GDPR.
ICO - Quando precisamos fazer uma DPIA? Orientação da ICO explicando quando uma Avaliação de Impacto sobre a Proteção de Dados pode ser necessária.
legislation.gov.uk - Lei de Proteção de Dados de 2018 Texto oficial da Lei de Proteção de Dados de 2018.
legislation.gov.uk - Lei de Regulamentação dos Poderes de Investigação de 2000 Texto oficial da Lei de Regulamentação dos Poderes de Investigação de 2000.
GOV.UK - Interceptação de comunicações: código de prática Código de prática do governo do Reino Unido relacionado à interceptação de comunicações.
Austrália e Nova Zelândia
Privacy Act 1988 (Austrália)
A Privacy Act 1988 estabelece a estrutura geral de como as organizações australianas lidam com informações pessoais, incluindo certos dados que podem ser coletados por meio de monitoramento online ou sistemas relacionados ao local de trabalho.
Ela exige que as organizações abrangidas coletem apenas informações que sejam razoavelmente necessárias, sejam transparentes sobre como as informações pessoais são usadas e as mantenham seguras.
A lei não contém regras detalhadas de vigilância no local de trabalho, e os registros de funcionários tratados por empregadores do setor privado podem ser isentos dos Princípios Australianos de Privacidade em certas circunstâncias. No entanto, o monitoramento que envolve informações pessoais ainda pode estar sujeito à Privacy Act em alguns contextos, como quando a isenção de registros de funcionários não se aplica, quando prestadores de serviços tratam dados de funcionários ou quando outras obrigações de privacidade são acionadas.
Na prática, empregadores e prestadores de serviços que usam ferramentas de monitoramento devem definir finalidades comerciais claras, evitar rastreamento excessivo, explicar suas práticas em políticas de privacidade e documentação interna e considerar as leis relevantes de vigilância no local de trabalho estaduais ou territoriais.
Leis de Vigilância no Local de Trabalho (nível estadual, Austrália)
Alguns estados e territórios australianos regulam o monitoramento no local de trabalho de forma mais direta por meio de leis de vigilância no local de trabalho, como a Workplace Surveillance Act 2005 (NSW) e a Workplace Privacy Act 2011 (ACT).
Essas leis podem controlar quando e como os empregadores podem usar vigilância por câmera, computador e rastreamento, frequentemente exigindo aviso prévio por escrito, políticas claras e condições específicas antes do início do monitoramento.
A vigilância oculta ou encoberta é altamente restrita e pode exigir autoridade específica ou aprovação legal. Ela não deve ser tratada como um método rotineiro de acompanhamento de desempenho.
Para ferramentas de monitoramento online, isso significa que empregadores nos estados e territórios afetados devem fornecer aviso claro e oportuno quando exigido e garantir que qualquer vigilância de computador, Internet, e-mail ou rastreamento esteja alinhada às condições legais aplicáveis.
Privacy Act 2020 (Nova Zelândia)
A Privacy Act 2020 da Nova Zelândia fornece a estrutura de privacidade do país e aplica-se a informações pessoais tratadas por agências, incluindo informações coletadas por meio de monitoramento no local de trabalho ou online.
A lei exige que as organizações coletem informações apenas para finalidades legais e necessárias, sejam abertas sobre suas práticas e concedam aos indivíduos acesso às suas informações pessoais quando aplicável.
Orientações dos reguladores enfatizam que monitorar, gravar ou filmar funcionários deve ser feito em conformidade com a Privacy Act e os princípios de privacidade. Os empregadores também devem considerar como o monitoramento pode afetar a confiança dos funcionários, o moral e as relações no local de trabalho.
Os empregadores são incentivados a consultar a equipe, explicar por que o monitoramento é necessário, usar políticas claras no local de trabalho e considerar o impacto do rastreamento contínuo ou detalhado.
Fontes oficiais:
OAIC - A Lei de Privacidade Visão geral oficial da Privacy Act 1988 da Austrália e dos Princípios Australianos de Privacidade.
OAIC - Isenção de registros de funcionários Explica quando o tratamento de registros de funcionários por empregadores do setor privado pode ser isento dos Princípios Australianos de Privacidade.
OAIC - Monitoramento e vigilância no local de trabalho Orientação explicando que o monitoramento no local de trabalho pode envolver leis estaduais, territoriais e outras leis australianas relevantes.
ACT Legislation - Workplace Privacy Act 2011 Página oficial de legislação da ACT para a Workplace Privacy Act 2011.
Legislação da Nova Zelândia - Privacy Act 2020 Texto oficial da Privacy Act 2020 da Nova Zelândia.
Comissário de Privacidade da Nova Zelândia - Privacy Act 2020 Visão geral oficial dos princípios de privacidade da Nova Zelândia.
Employment New Zealand - Privacidade dos funcionários Orientação sobre privacidade dos funcionários, monitoramento no local de trabalho, gravação e filmagem de funcionários.
Área da Ásia-Pacífico
PDPA (Lei de Proteção de Dados Pessoais) - Singapura
Abrange dados pessoais coletados, usados ou divulgados por organizações, incluindo dados que podem ser coletados por meio de monitoramento de funcionários ou online.
Exige que as organizações coletem, usem ou divulguem dados pessoais para finalidades apropriadas e com consentimento, consentimento presumido ou outra exceção aplicável quando permitida.
Forte foco em transparência, notificação adequada, limitação de finalidade e salvaguardas de proteção de dados.
As organizações devem informar os indivíduos sobre as finalidades para as quais seus dados pessoais são coletados, usados ou divulgados.
A retenção deve ser limitada ao que for necessário para finalidades legais ou comerciais.
PDPA - Malásia
Aplica-se a dados pessoais processados em transações comerciais, incluindo contextos relacionados ao emprego em que dados pessoais são coletados ou usados.
Exige que as organizações cumpram os principais princípios de proteção de dados pessoais, incluindo os princípios geral, de aviso e escolha, divulgação, segurança, retenção, integridade dos dados e acesso.
As organizações devem fornecer aviso claro sobre a finalidade da coleta de dados pessoais e como os dados serão usados.
Os dados devem ser processados para uma finalidade específica e declarada, protegidos com medidas de segurança adequadas e não mantidos por mais tempo do que o necessário.
Inclui regras sobre retenção, segurança de dados, direitos de acesso, direitos de correção e processamento por terceiros.
APPI (Lei de Proteção de Informações Pessoais) - Japão
Regula o tratamento de informações pessoais por empresas e outras entidades abrangidas, incluindo dados pessoais de clientes e funcionários.
Exige que as organizações especifiquem a finalidade de uso e tratem as informações pessoais dentro dessa finalidade declarada.
Enfatiza a segurança dos dados, a precisão, o controle de retenção e a supervisão adequada de funcionários e prestadores de serviços que tratam dados pessoais.
As práticas de monitoramento que envolvem informações pessoais devem estar alinhadas às políticas internas e à finalidade de uso declarada.
Os indivíduos podem ter direitos de divulgação, correção, suspensão de uso ou exclusão, dependendo do contexto.
PIPL (Lei de Proteção de Informações Pessoais) - China
Lei abrangente de proteção de informações pessoais que cobre o processamento de informações pessoais na China e certas atividades de processamento fora da China envolvendo indivíduos na China.
Exige uma finalidade clara e razoável, minimização de dados, transparência e medidas de segurança adequadas.
O consentimento pode ser exigido em muitos casos, enquanto outras bases legais de processamento podem ser aplicáveis dependendo do contexto.
Consentimento separado pode ser exigido para informações pessoais sensíveis, certas divulgações, transferências transfronteiriças ou outras atividades de processamento de maior risco.
Concede aos indivíduos direitos como acesso, correção, exclusão, retirada de consentimento e explicação das regras de processamento.
Fontes oficiais:
PDPC de Singapura - Lei de Proteção de Dados Pessoais Visão geral oficial da Lei de Proteção de Dados Pessoais de Singapura.
PDPC de Singapura - Obrigações de Proteção de Dados Página oficial da PDPC explicando obrigações-chave, como consentimento, notificação, limitação de finalidade, proteção e retenção.
PDPC de Singapura - Diretrizes Consultivas sobre Conceitos-Chave da PDPA Orientação oficial explicando conceitos-chave da PDPA, incluindo consentimento e exceções.
Departamento de Proteção de Dados Pessoais da Malásia - Lei de Proteção de Dados Pessoais de 2010 Página oficial do governo da Malásia sobre a Lei de Proteção de Dados Pessoais de 2010.
Departamento de Proteção de Dados Pessoais da Malásia - Princípios de Proteção de Dados Pessoais Visão geral oficial dos sete princípios de proteção de dados pessoais da Malásia.
Departamento de Proteção de Dados Pessoais da Malásia - Orientação sobre Avisos de Proteção de Dados Pessoais Orientação oficial sobre a preparação de avisos de proteção de dados pessoais.
Comissão de Proteção de Informações Pessoais do Japão - Lei de Proteção de Informações Pessoais Tradução oficial em inglês da Lei de Proteção de Informações Pessoais do Japão.
Comissão de Proteção de Informações Pessoais do Japão Site oficial do regulador de privacidade do Japão.
Banco de Dados Nacional de Leis e Regulamentos da China - Lei de Proteção de Informações Pessoais Texto oficial em chinês da Lei de Proteção de Informações Pessoais da China.
Administração do Ciberespaço da China - Lei de Proteção de Informações Pessoais Publicação oficial da CAC da Lei de Proteção de Informações Pessoais da China.
América Latina
LGPD (Lei Geral de Protecao de Dados) - Brasil
A LGPD do Brasil regula o processamento de dados pessoais, incluindo dados processados por meios digitais. Ela pode se aplicar a informações coletadas por meio de monitoramento online ou no local de trabalho quando os dados se relacionam a uma pessoa identificada ou identificável.
As organizações devem identificar uma base legal apropriada para o monitoramento e explicar a finalidade da coleta de dados. O monitoramento deve ser limitado ao que é necessário, realizado de forma transparente e apoiado por medidas de segurança adequadas.
Os indivíduos têm direitos que podem incluir acesso, correção, exclusão, portabilidade, informações sobre compartilhamento de dados e retirada de consentimento quando aplicável.
Leis Nacionais de Privacidade na Argentina, México e Chile
Argentina, México e Chile têm estruturas nacionais de proteção de dados que podem se aplicar a dados pessoais coletados por meio de ferramentas de monitoramento, dependendo do contexto e do tipo de dados envolvidos.
As expectativas comuns de privacidade em toda a região incluem ter uma finalidade clara e apropriada, informar os indivíduos sobre a coleta de dados, limitar o uso dos dados ao que é necessário e proteger os dados pessoais com salvaguardas adequadas.
Os indivíduos podem ter direitos de acessar, corrigir, atualizar, excluir ou se opor a certos usos de seus dados pessoais, dependendo da lei aplicável.
Como os requisitos específicos diferem por país e podem mudar ao longo do tempo, as organizações devem revisar as regras locais atuais antes de implementar monitoramento online ou no local de trabalho nesses mercados.
Fontes oficiais:
Brasil - Lei nº 13.709/2018, Lei Geral de Proteção de Dados Pessoais (LGPD) Texto oficial consolidado da LGPD do Brasil.
Argentina - Agencia de Acceso a la Informacion Publica: Proteção de Dados Pessoais Página oficial da autoridade argentina sobre proteção de dados pessoais.
Chile - Lei nº 19.628 sobre Proteção da Vida Privada Texto oficial da lei de proteção de dados pessoais do Chile.
Chile - Lei nº 21.719, Proteção e Tratamento de Dados Pessoais Texto oficial da estrutura modernizada de proteção de dados do Chile.
Área do Oriente Médio
Lei de Proteção de Dados dos EAU (Decreto-Lei Federal nº 45 de 2021)
A lei federal de proteção de dados pessoais dos EAU fornece uma estrutura geral para o processamento de dados pessoais. Ela pode se aplicar a organizações que processam dados pessoais nos EAU ou processam dados pessoais de indivíduos nos EAU, dependendo do escopo da lei e de quaisquer regras setoriais ou de zonas francas aplicáveis.
Para o monitoramento, as organizações devem definir uma finalidade clara e legal, limitar a coleta de dados ao que é necessário e dar forte ênfase à transparência e segurança.
As organizações devem informar a equipe sobre o monitoramento quando exigido, documentar seus motivos para coletar dados pessoais e implementar políticas internas e salvaguardas para lidar com dados monitorados.
Lei de Proteção da Privacidade de Dados do Catar
A lei de privacidade de dados pessoais do Catar abrange dados pessoais processados eletronicamente ou destinados ao processamento eletrônico.
Ela reconhece o direito do indivíduo à privacidade dos dados e exige que o processamento de dados pessoais siga princípios como transparência, justiça e respeito à privacidade.
Para sistemas de monitoramento, as organizações devem ter uma finalidade clara e legal, informar os indivíduos quando exigido e proteger os dados pessoais com medidas de segurança adequadas.
As organizações também devem respeitar os direitos aplicáveis, incluindo direitos de acesso e correção quando disponíveis.
Lei de Proteção de Dados Pessoais da Arábia Saudita (PDPL)
A PDPL da Arábia Saudita regula o processamento de dados pessoais no Reino e também pode se aplicar a certas atividades de processamento fora do Reino quando envolvem dados pessoais de indivíduos na Arábia Saudita.
Para o monitoramento, as organizações devem definir finalidades claras, adotar políticas de privacidade e informar os indivíduos sobre como seus dados pessoais serão coletados e usados.
O consentimento pode ser exigido em muitos casos, enquanto outras bases legais podem ser aplicáveis dependendo do contexto.
Empregadores que usam ferramentas de monitoramento devem proteger os dados monitorados, limitar o acesso interno, evitar coleta desnecessária e tratar as informações dos funcionários de acordo com os requisitos de transparência, segurança e retenção da PDPL.
Fontes oficiais:
Legislação dos EAU - Decreto-Lei Federal nº 45 de 2021 sobre a Proteção de Dados Pessoais Texto oficial da lei federal de proteção de dados pessoais dos EAU.
Qatar Al Meezan - Lei nº 13 de 2016 sobre Proteção da Privacidade de Dados Pessoais Texto oficial em PDF em inglês da lei de privacidade de dados pessoais do Catar.
SDAIA - Lei de Proteção de Dados Página oficial da Autoridade Saudita de Dados e IA sobre a Lei de Proteção de Dados Pessoais da Arábia Saudita.
SDAIA - Lei de Proteção de Dados Pessoais Versão oficial em inglês da Lei de Proteção de Dados Pessoais da Arábia Saudita.
Considerações Finais para um Monitoramento Responsável
As leis de monitoramento online e de funcionários variam significativamente entre países, estados, setores e ambientes de trabalho. A mesma ferramenta de monitoramento pode ser aceitável em um contexto e inadequada ou ilegal em outro, dependendo de como é configurada, quais dados são coletados, se os usuários são informados e como as informações são usadas.
Um programa de monitoramento responsável geralmente deve incluir:
Uma finalidade clara e legítima para o monitoramento
Políticas internas por escrito explicando o que é monitorado e por quê
Aviso ao usuário ou funcionário quando exigido
Coleta de dados limitada e proporcional
Controles de acesso fortes e salvaguardas de segurança
Períodos de retenção definidos para os dados coletados
Revisão regular das práticas de monitoramento
Revisão jurídica para cenários de monitoramento de alto risco, sensíveis, ocultos ou transfronteiriços
A Spyrix fornece software de monitoramento para uso autorizado. No entanto, cada organização é responsável por determinar se seu uso específico de ferramentas de monitoramento está em conformidade com as leis aplicáveis, políticas internas e requisitos de aviso. Em caso de dúvida, as organizações devem consultar assessoria jurídica qualificada antes de implantar software de monitoramento ou ativar recursos de monitoramento mais intrusivos.