Cada vez mais comum no mundo corporativo, o modelo de trabalho “Bring your own device”, mais conhecido pela sigla BYOD, tem atraído diversas empresas, dos mais variados setores. Na prática, a política de BYOD permite que os funcionários utilizem seus aparelhos, incluindo smartphones e notebooks, para exercerem suas atividades laborais.
Apesar de gerar redução considerável de custo para as empresas, a implementação do modelo BYOD impacta na seguinte problemática: ao permitir que o colaborador utilize equipamentos próprios, como mitigar o risco de incidente de segurança da informação e vazamento de dados pessoais para as empresas? A seguir, faremos algumas considerações sobre este tema.
1. Tomada de decisão: adotar ou não o BYOD?
Cabe ressaltar que a decisão pela adoção do modelo BYOD não deve ser tomada por uma única área da empresa, isoladamente. Isto porque, este modelo de trabalho impacta, essencialmente, em três áreas estratégicas: (i) privacidade e proteção de dados pessoais; (ii) segurança da informação; e (iii) governança de dados. Em outras palavras, o funcionário acessará, através do seu próprio equipamento, dados e informações confidenciais que constituem ativos intangíveis (bens de propriedade intelectual) da empregadora.
Além disso, é importante destacar que, caso a vigência do Contrato de Trabalho do colaborador tiver início antes da implementação do BYOD, esta política não deverá ser imposta, devendo ser apresentada como uma alternativa aos empregados que assim desejarem, de forma que o colaborador não assuma custos adicionais não previstos (por exemplo, se ver forçado a adquirir um notebook para desempenhar as funções que eram executadas nos dispositivos da empresa).
2. Privacidade e Proteção dos Dados Pessoais
Considerando que o funcionário utilizará seu equipamento pessoal para executar suas atividades vinculadas ao contrato de trabalho, surgem alguns questionamentos pertinentes, como por exemplo: (i) como garantir que os dados e informações confidenciais estarão protegidos?; e (ii) é possível monitorar os equipamentos eletrônicos pessoais utilizados pelos colaboradores?
Em primeiro lugar, antes de implementar este modelo de trabalho, a empresa precisa garantir que possui ferramentas para atender adequadamente ao disposto no art. 46 da LGPD. Em outras palavras: a empresa implementa medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de sua propriedade de acessos não autorizados e de qualquer forma de tratamento inadequado ou ilícito? As medidas de segurança são condições essenciais para preservar dados da empresa tratados através do BYOD.
Adicionalmente, é necessário atualizar a Política de Segurança da Informação da empresa, para determinar a implementação de controles de segurança que visem mitigar incidentes de confidencialidade, integridade e disponibilidade nos dispositivos móveis utilizados pelos colaboradores, sejam eles corporativos ou pessoais. Além disso, é recomendável que a área de Segurança da Informação elabore Norma de Uso de Recursos de TIC exigindo que os dispositivos móveis utilizados para o BYOD possuam instalação de ferramentas que auxiliem na prevenção aos incidentes de segurança.
2.1 Garantia de proteção aos dados e informações confidenciais do Empregador
A implementação de BYOD requer que a empresa possua ferramentas que protejam os seus dados e informações confidenciais, mesmo que em equipamentos particulares dos empregados. Para estes casos, existem as tecnologias MDM/EMM, que permitem criptografar parte do dispositivo no qual residem apenas os dados de negócios, e podem ser utilizadas em notebooks e smartphones, viabilizando a segregação da área privada do colaborador da área da empresa.
Para exemplificar, a tecnologia MDM (Mobile Device Management) são ferramentas que permitem gerenciar dispositivos móveis de forma remota, integrada e centralizada, para:
- Aplicar controles de segurança da informação (como criptografia)
- Bloqueio de aparelho
- Eliminação das informações armazenadas
- Gestão de aplicativos instalados
Já o EMM (Enterprise Mobility Management) são estratégias e planejamento do gerenciamento de mobilidade corporativa, que podem ou não serem implementadas no MDM, e que permitem a integração do dispositivo móvel com softwares de gerenciamento de conteúdo corporativo de forma colaborativa e segura com os demais colaboradores. Sob a ótica de proteção de dados pessoais, estas ferramentas estão fundamentadas no art. 46 e 47 da LGPD, que determina a implementação de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais de acessos não autorizados e de situações acidentais ou ilícitas de destruição, perda, alteração, comunicação ou qualquer forma de tratamento inadequado ou ilícito.
2.2 Monitoramento dos equipamentos eletrônicos pessoais utilizados pelos colaboradores
Sem entrar no mérito do princípio básico que determina que a vida privada do colaborador permanecerá privada, o que já é um consenso, é preciso entender sobre como tratar do monitoramento dos equipamentos eletrônicos pessoais utilizados pelos colaboradores. Em primeiro lugar, não poderá existir qualquer expectativa, ou meios de fato, que possibilitem que a Empresa monitore o que o colaborador faz, fora do seu horário de trabalho, através da utilização do seu equipamento particular. Considerando este basilar, dois questionamentos principais devem ser levados em consideração:
- O que, atualmente, é permitido na Empresa com relação ao uso de aparelhos particulares como, por exemplo, smartphones?
- O que, atualmente, é permitido na Empresa com relação ao monitoramento (há monitoramento de fluxo de dados/downloads/navegação/e-mails?)
A partir destas respostas, outras perguntas devem ser respondidas pela Companhia como, por exemplo:
- Qual será o objeto/escopo do monitoramento em caso de implementação de BYOD?
- A Empresa passará realizará monitoramento de hora extra/navegação?
Fundamentada nestas definições, a Empresa poderá utilizar ferramentas disponíveis no mercado para esta finalidade. Por exemplo, uma regra de monitoramento poderá ser criada através do VPN (Virtual Private Network), com o objetivo de realizar controle de jornada/login do colaborador. Ao final do expediente diário, o VPN poderá ser desconectado para que o colaborador utilize seu equipamento para seus assuntos privados.
3. Conclusão
Como este artigo não tem a pretensão de esgotar as discussões sobre o tema e nem de decidir, pelas empresas, se o BYOD deve ser implementado ou não, trouxemos pontos de atenção, de modo que auxiliem as empresas que estejam considerando a adoção deste modelo, principalmente diante das modalidades de trabalho remoto e híbrido.
Cada empresa deve avaliar os riscos e benefícios da adoção do BYOD de maneira detalhada e participativa. Essa decisão deve considerar não só aspectos de segurança da informação, de resguardo adequado dos ativos intangíveis empresariais e de proteção de dados pessoais, como, também, da preservação da privacidade dos colaboradores.
O Peck Advogados dispõe de um time de profissionais especializados e preparados para prestar todo o auxílio necessário à sua empresa em questões de direito digital, proteção de dados pessoais, segurança da informação e governança corporativa.
Por nossa sócia, Lorena Botelho, e pelos advogados especialistas em Direito Digital, Camila Viveiros e Pedro Fracchia