Não foram poucas as dificuldades enfrentadas pelas empresas após o início da pandemia da Covid-19. Para manter a prestação de serviços, muitas organizações se viram obrigadas, de forma repentina, a migrar para o modelo de teletrabalho ou trabalho remoto. Uma mudança complexa, sem tempo hábil para treinar empregados, adequar processos internos e configurar a sua infraestrutura para viabilizar o acesso remoto aos seus ambientes lógicos.
Mesmo após um ano e meio desse processo, e o fortalecimento da cultura de trabalho híbrido ou totalmente remoto, a manutenção da segurança da informação continua como desafio para muitas organizações. Um modelo eficiente de governança em segurança da informação para o ambiente mobile deve prever medidas para mitigar os riscos e ameaças desta nova realidade, sem ferir o direito à intimidade e vida privada dos empregados.
Em um mundo com novas ameaças e diferentes impactos às pessoas, o combate deveria se dar na mesma medida: inovador. Algumas empresas que já utilizavam os conhecidos softwares de gerenciamento remoto para aplicação de suas políticas de segurança, agora iniciam a atualização de seus dispositivos mobiles para a tecnologia do e-sim card, com objetivo de reduzir vulnerabilidades de interrupção da conectividade necessária para os controles de segurança.
Tecnologia e segurança da informação no ambiente mobile
Os softwares MDM (Mobile Device Management) permitem a criação de ambientes de armazenamento e uso segregados e incomunicáveis nos dispositivos móveis. Com eles, as organizações conseguem monitorar e controlar, de forma integrada e centralizada, apenas o perfil destinado ao uso corporativo dos dispositivos móveis de seus colaboradores, podendo corrigir falhas técnicas que tragam vulnerabilidades e acompanhar a realização de backups automáticos, para assim garantir a disponibilidade das informações em caso de algum incidente, e ainda preservar a intimidade e vida privada do colaborador, deixando de acessar informações armazenadas no perfil de uso exclusivamente pessoal.
Desde que o Colaborador esteja ciente da sua responsabilidade em seguir os normativos internos (políticas e regulamentos internos) referentes ao uso do dispositivo móvel, e se bem implementadas as políticas de segurança e de proibição de acesso a aplicações ou informações corporativas em determinados dias e horários, os recursos do MDM poderão mitigar os riscos jurídicos de horas extras ou sobreavisos indevidos ao crivo da legislação, especialmente no que se refere à nova redação do capítulo referente ao teletrabalho ou trabalho remoto trazido pela Lei 14.442/22, que , dentre outros, determina que a prestação de serviços na modalidade de teletrabalho deverá constar expressamente do contrato de trabalho.
O apagamento remoto do conteúdo armazenado no perfil corporativo do dispositivo é outro recurso útil nos casos de dispensa do empregado que está na posse de informações confidenciais da empresa. É uma medida que auxilia o cumprimento de dever de apagamento dos dados pessoais após o término do tratamento (art. 16, Lei Geral de Proteção de Dados Pessoais – Lei 13.709/2018) e na obrigação de exclusão de informações confidenciais após o encerramento de um projeto, por exigência de NDA, por exemplo.
A maior parte dos smartphones permitem o acesso remoto para obtenção de dados de geolocalização, bloqueio e apagamento remoto. Em que pese todos os seus benefícios de uso em situações regulares, e a possibilidade de se configurar o dispositivo para não ser desligado sem a inserção de uma senha de segurança, este sistema tem se demonstrado pouco efetivo nos casos de furto, roubo ou perda do dispositivo. Para que sejam eficazes qualquer tentativa de comando remoto, é necessário que o dispositivo móvel esteja conectado à internet, o que é facilmente burlável ao se remover o chip (sim card – “Módulo de Identidade do Assinante”).
No entanto, nos últimos meses, as empresas de telefonia anunciaram a comercialização de planos que oferecem a habilitação de serviços de telefonia móvel e internet em aparelhos que dispensam a inserção de um chip, chamados de e-SIMcard (“embedded-SIM”). Na verdade, o chip vem pré-soldado à placa mãe do dispositivo, impedindo a sua remoção. A habilitação do serviço ocorre por meio de software, bastando que o usuário aponte a câmera do celular para o QR code fornecido pela operadora do plano de telefonia ou pela equipe de TI.
Isso permite incluir, simultaneamente, múltiplos números de telefone no mesmo dispositivo, e as empresas podem se valer desta tecnologia na gestão dos números de telefone de seus colaboradores, habilitando-os de forma centralizada e escalonável nos perfis de uso corporativo dos sistemas de MDM. Da mesma forma, em caso de demissão, basta um comando remoto da equipe de TI para remover a habilitação do acesso telefônico do número corporativo.
Embora não seja infalível contra bloqueadores de sinais ou áreas de sombras (locais em que o sinal não é alcançado pelo aparelho), a utilização de softwares MDM passa a fazer ainda mais sentido em dispositivos que utilizam o e-SIMcard, pois aumenta as chances de um comando remoto ser concluído com êxito.
Requisitos jurídicos para implementação do MDM
Embora possa mitigar riscos jurídicos decorrentes de incidentes de segurança da informação, ao decidir pela utilização de sistemas de gerenciamento de dispositivos móveis, a empresa deve certificar-se de que os empregados estão cientes da obrigação de uso exclusivo para fins corporativos dos aparelhos (quando de propriedade da empresa) ou do perfil corporativo MDM.
Além disso, deve existir transparência quanto aos critérios objetivos de monitoramento remoto sem aviso prévio, explicitados nos normativos internos publicados e disponíveis a todos da empresa, e ter mecanismos capazes de limitar o acesso aos dados apenas estritamente necessários para a implementação de medidas de segurança técnicas e administrativas de proteção dos dados pessoais, conforme dispõe o art. 46 da Lei Geral de Proteção de Dados Pessoais – LGPD, Lei 13.709/2018.
Aliás, o art. 7º, inciso V da LGPD dispõe que poderá ser realizado o tratamento de dados pessoais, inclusive de empregados, quando necessário para a execução de contrato ou de procedimentos preliminares relacionados a contrato do qual seja parte o titular, a pedido do titular dos dados.
O Contrato de Trabalho é, portanto, o instrumento jurídico mais comum que traz licitude para este tipo de controle e vigilância remota, justificado pela necessidade de se adotar controles de proteção da intimidade e vida privada do colaborador nos processos internos de segurança das informações de propriedade da empresa.
Conclusão
Se de um lado utilizar e-SIMcard e softwares MDM para o monitoramento e controle dos dispositivos móveis dos empregados reduz as vulnerabilidades de segurança da informação e traz agilidade para a equipe de TI, por outro também aumenta o escopo de vigilância do empregador, o que poderá acarretar risco à privacidade dos colaboradores, caso não sejam adotadas as medidas jurídicas adequadas e medidas técnicas suficientes para impedir a vigilância ininterrupta dos dispositivos móveis.
Por tais razões, além do respaldo jurídico contratual, a organização deve garantir transparência em sua Política de Governança de Dados Pessoais, com menção expressa quanto ao monitoramento dos dispositivos móveis utilizados pelos colaboradores, para atendimento de exigências contratuais com clientes e determinações da LGPD, inclusive para o exercício de direitos dos titulares (LGPD, art. 18).
Recomenda-se ainda que, sempre que possível, as organizações busquem evidenciar a transparência junto aos colaboradores mediante coleta de assinatura em termos específicos de ciência quanto ao monitoramento realizado, e de declaração de sua vontade em utilizar seus dispositivos móveis particulares com instalação de recursos MDM / EMM para a sua privacidade e monitoramento pela empresa.
A Política de Segurança da Informação, publicada e disponível ao colaborador deve ser atualizada para determinar a implementação de controles de segurança que visem mitigar incidentes de confidencialidade, integridade e disponibilidade nos dispositivos, sejam eles corporativos ou pessoais, da mesma forma que se recomenda que a Norma de Uso de Recursos de TIC exija que os dispositivos móveis corporativos possuam instalação de MDM / EMM.
Um dos grandes entraves para a adoção de novas tecnologias no ambiente de trabalho é, justamente, a presença de uma legislação trabalhista complexa. Cumpre-nos alertar que, antes de adotar qualquer novo software ou dispositivo de monitoramento ou controle, deverá ser analisada a questão da jornada de trabalho, se ela é ou não controlada pelo empregador, bem como a presença de cargo de confiança e se o dispositivo em que será instalado é de propriedade ou não da empresa.
Ainda não há jurisprudência consolidada na Justiça do Trabalho que trate das consequências jurídicas da adoção de ferramentas de controle, pelo empregador, sobre um dispositivo de propriedade do empregado. Com isso, a depender das particularidades do caso levado a julgamento, a utilização do MDM poderá ser compreendida como afronta à intimidade e vida privada, ainda que sejam acessados apenas o ambiente lógico da empresa, armazenado no dispositivo de propriedade do empregado.