 |
| Fonte: http://sellorelse.ogilvy.com/2012/12/10/byod-movement-spurs-smart-mobility/ |
CONSUMERIZAÇÃO E BYOD (Bring your own device)
Estamos todos
conectados, mesmo que involuntariamente - e o tempo todo. O telefone
fixo foi substituído pelo celular; o desktop,
pelos laptops,
tablets
e
smartphones;
os fios, por
conexões
wireless
cada vez mais rápidas e de grande alcance.
A mobilidade tem
o condão de tornar ininterrupto o contato entre as pessoas e sem a
barreira da distância. A vida pessoal foi amalgamada com toda a
força à vida profissional, tendo em vista que os limites entre
ambas são cada vez mais tênues. Empresas e órgãos públicos
passaram a fornecer a seus empregados/servidores equipamentos móveis,
em especial celulares/smartphones e laptops/tablets, como forma de
assegurar contato a qualquer hora do dia ou da noite.
Os empregados e
servidores públicos, por sua vez, aceitaram prontamente e de bom
grado a ideia. Se, por um lado, a mobilidade às expensas do patrão
possibilitava que a jornada de trabalho pudesse ser redimensionada e
cumprida parcialmente fora dos escritórios, também fazia com que
milhares de 'excluídos digitais' pudessem ter acesso àquelas
tecnologias. No final da década de 90 e início dos anos 2000 havia
pouca oferta de dispositivos móveis, os equipamentos eram caríssimos
e nem todos podiam te-los.
Todavia, com a
explosão da tecnologia e a consequente popularização dos celulares
e tablets, a situação se inverteu. Se no passado a vetusta máquina
de escrever atravessava décadas, na atualidade empresas e órgãos
públicos não conseguem atender à demanda de renovar seus
dispositivos com a mesma velocidade do surgimento de novos modelos e
tecnologias. Os devices
das empresas ficam rapidamente ultrapassados e, em poucos anos,
alguns se tornam praticamente obsoletos.
Em
decorrência disso, em todo o mundo verificou-se a tendência de as
pessoas passarem a utilizar, profissionalmente, seus dispositivos
particulares, no conceito designado BYOD
(Bring
Your Own Device),
muitas vezes tomado como sinônimo de consumerização,
embora
sejam fenômenos diferentes.
Consumerização
é
a tendência de os consumidores de dispositivos procurarem estar
up-to-date
com os lançamentos de mercado e sempre atualizados com os novos
modelos e tecnologias. É o que explica, por exemplo, o comportamento
de pessoas formando longas filas à porta das lojas Apple na véspera
do lançamento de um novo modelo de iPhone.
O
BYOD (Bring
Your Own Device)
é a preferência pela utilização de dispositivos pessoais para
fins profissionais.
Estima-se,
atualmente, que 90% dos empregados e colaboradores utilizem seus
próprios dispositivos a serviço da empresa. Experiências de BYOD
em escolas norteamericanas demonstram que o aprendizado pode ser
muito facilitado e melhor aproveitado quando as crianças estudam em
seus próprios dispositivos.1
Pesquisa
realizada em 2012 pela CISCO Internet Business Solutions Group (IBSG)
para auxiliar a tomada de decisão sobre o BYOD em grandes e médias
empresas apurou que:2
• O BYOD é
um fenômeno global: forte evidência de funcionários em toda parte
usando seus próprios dispositivos no trabalho; 89 por cento dos
departamentos de TI permitem o BYOD de alguma forma;
• Os
principais benefícios do BYOD para a empresa são maior
produtividade, satisfação do funcionário, menores custos; 69 por
cento dos líderes de TI são “positivos” em relação ao BYOD;
• Os
funcionários querem o BYOD para poder escolher seus dispositivos e
aplicativos e terem a capacidade de combinar suas vidas pessoal e
profissional;
• O
benefício transformador do BYOD é a inovação impulsionada pelos
funcionários — ao permitir que os funcionários decidam como,
quando e com quais ferramentas o trabalho é realizado, as empresas
poderão abrir caminho para a próxima onda de valor;
• O BYOD,
no entanto, implica em novos desafios de segurança e suporte de TI;
• As
empresas devem responder de forma proativa ao BYOD com melhores
políticas móveis e estratégias de redução de custos; a
virtualização da área de trabalho pode ajudar.
Algumas
questões de ordem administrativa, funcional e jurídica permeiam
essas novas tendências e se colocam como possibilidades de futuro
conflito. O BYOD envolve aspectos inéditos relativos à segurança
da informação, à integração da rede, aos reflexos trabalhistas e
penais, aos custos e, ainda, ao suporte técnico dos dispositivos.
As informações
aqui reunidas estão atualizadas até 05 de julho de 2013.
Construindo
a história
"Tornou-se
chocantemente óbvio que a nossa tecnologia
excedeu
a nossa humanidade."
Albert
Einstein
Em todos os
momentos de nossas vidas fazemos escolhas e são centenas ao dia.
Necessitamos decidir a cada segundo, sem mesmo perceber, o que
vestir, o que comer, o que dizer, o que calar, qual caminho
percorrer, como usar o tempo. Esse confrontamento sistemático entre
duas ou mais opções se dá em todos os minutos da vida: escolher,
escolher, escolher. Com nossos dispositivos pessoais não é
diferente. Android ou iPhone? PC, Laptop ou Tablet? Galaxy ou iPad?
Touchscreen ou teclado? Windows, Linux ou iOS? Papel ou Kindle? Vinil
ou áudio digital?
Cada um de nós
é um consumidor que faz escolhas. Esse fenômeno é a
consumerização.
Escolhe-se um
determinado dispositivo para uso próprio observando-se a
conveniência particular, a melhor adaptação, o preço e a relação
custo <=> benefício, a preferência pessoal ou mesmo o
sentimento de superioridade e de empoderamento pessoal por adquirir o
modelo tecnológico mais moderno. Ao device vão se agregando
aplicativos, softwares, procede-se a sincronização com outras
máquinas e há interface com outros ambientes. A vida de uma pessoa
não é mais individualmente considerada: o conceito atual de
'homem', 'mulher' ou 'ser humano' abrange a pessoa e os seus
avatares.
Parece bastante
natural, pois, que nessa realidade aumentada a cultura do BYOD seja
adotada com muita facilidade. O ambiente de trabalho mudou e a
legislação pode ainda não ter cobertura suficiente para todas as
situações.
As empresas,
atualmente, lidam com outra questão que já se apresenta: o BYOA
– Bring Your Own App (“Traga seu próprio
aplicativo”). Se a opção por trabalhar com dispositivos pessoais
é uma realidade, nada mais natural que os usuários queiram ou
exijam, também, poder utilizar aplicativos de sua livre escolha, sem
prévia homologação ou aprovação pelo empregador.
BYOD, propriedade e
custos
O modelo
tradicional de estrutura tecnológica organizacional importa
em que os equipamentos adquiridos para o desenvolvimento da
atividade empresarial tenham sua propriedade registrada no nome da
empresa e que os custos da utilização também sejam por ela
suportados. O usuário/empregado recebe os dispositivos como uma
espécie de benesse ou facilidade para o trabalho, mantendo-se
contatável o tempo todo. Raramente o usuário/empregado é chamado a
opinar previamente acerca da preferência por algum modelo ou sobre a
adequação deste ou daquele sistema operacional.
Nessa
conjuntura, não tem contornos de relevância se o dispositivo
fornecido é fixo ou móvel. O usuário irá recebê-lo preformatado,
predefinido, com especificações técnicas rígidas e pouca ou
nenhuma flexibilidade para customizá-lo. É comum que o sistema fixo
ou móvel estabeleça padrões de consumo e filtros de conteúdo, por
palavras-chave ou pela proibição expressa de acesso a determinados
sites e/ou redes sociais, ou ainda por barreiras técnicas
propositais que impeçam acessos não desejados pelas diretrizes
empresariais.
Os custos de
manutenção, suporte técnico e de segurança da informação, assim
como os relativos à energia elétrica utilizada e às despesas com a
banda de conexão, são de responsabilidade da empresa.
Na outra ponta,
nas empresas que permitem a prática do BYOD, a propriedade do
dispositivo é do usuário/empregado, que o escolhe livremente devido
à consumerização. O empregado, na qualidade de dono do device,
é quem arca com os custos de manutenção, suporte técnico,
energia, conexão e reposição em caso de furto, roubo ou perda,
além da corresponsabilidade pela segurança da informação.
BYOD
e a segurança da informação
Muitas
organizações têm observado o cuidado de elaborar um regulamento
predefinido e uma política de utilização rígida e abrangente,
devendo o empregado aderir expressamente a um termo de uso ou, ao
menos, demonstrar ter inequívoco conhecimento das políticas
adotadas. Esses normativos internos devem caminhar no sentido de
fazer observar recomendações técnicas e boas práticas na
utilização do sistema, tais como manter senhas pessoais fortes e
intransferíveis, antivirus atualizados, cuidar do sigilo da
informação, aqui podendo haver a adoção de contratos especiais de
trabalho e cláusulas de confidencialidade (non disclosure
agreement) e outras diretivas. Nesse modelo de negócio, tendo em
vista o uso profissional do dispositivo pessoal, algumas empresas
pagam uma espécie de ajuda de custo ao empregado, traduzida na
valoração de uma cota mensal de utilização.
Ao admitir a
prática do BYOD, a organização deverá concentrar uma forte
política de Data Loss Protection e certificar-se de que seus
dados e aplicativos, pulverizados em grande escala nos dispositivos
de seus funcionários e colaboradores, tenham adequada solução
técnica que os coloquem a salvo de vazamentos, furtos, ataques ou de
tentativas de espionagem. Nesse contexto, a criptografia assume
relevância como um dos mais importantes aspectos a ser observados,
muito especialmente quando o armazenamento dos dados é feito na
nuvem (cloud computing).
Além da
encriptação, a arquitetura de controle poderá ser feita, também,
por meio de hardware e/ou software na origem, como por exemplo a
adoção de mecanismos como log in/senha diferentes e de
acordo com o nível de acesso permitido externamente, autenticação
por desafio, biometria, firewall, VPN (virtual private
network), bloqueio geográfico,
filtros de conexão e outros, tudo a permitir a AAA (autenticação,
autorização e contabilidade/accounting).
De qualquer
modo, permitindo-se o BYOD, é sempre recomendável que a política
de segurança da informação esteja inequivocamente exposta no site
da empresa, que seja distribuída aos empregados ou afixada em áreas
comuns. Uma outra boa prática é fazer com que o usuário assine um
termo de adesão às políticas de segurança da informação, com
cláusula de confidencialidade, previsão de não-expectativa de
privacidade nos assuntos corporativos e outras providências legais
que possam resguardar a responsabilidade da empresa e e prevenir
vazamentos de dados e incidentes de segurança.
BYOD e Privacidade
A cada log
in, a internet registra e arquiva todos os cliques, páginas
visitadas, caracteres digitados, termos usados nos programas de
buscas e até o caminho do passeio do mouse na tela (traffic
shaping). Os softwares e aplicativos adotados pela empresa como
ferramentas de tecnologia e arquitetura de rede, usados
adequadamente, também têm potencial para isso.
Uma questão que
se coloca é a da privacidade dos dados do usuário no sistema BYOD,
no qual o dispositivo é usado indistinta e alternadamente para fins
profissionais e pessoais. Se o equipamento é do empregado mas o uso
é serviço, a empresa pode ter acesso remoto ao equipamento? E o
conteúdo pessoal, pode ser (ainda que inadvertidamente) acessado?
Como segmentar o conteúdo e segregar o que é de uso profissional e
o que é de uso pessoal?
A tendência da
jurisprudência é de responder afirmativamente à primeira pergunta.
A empresa pode ter pleno acesso a conteúdos que digam respeito aos
assuntos corporativos. O conteúdo e monitoramento dos e-mails
profissionais pode ser acessado direta ou remotamente pelo
empregador, como rotina de segurança, assim como os arquivos de
texto, áudio e imagem localizados no ambiente corporativo.
A jurisprudência
das cortes trabalhistas há muito firmou-se no sentido de que o
monitoramento e acesso ao conteúdo de mensagens eletrônicas
enviadas e recebidas a partir de e-mail corporativo, por SMS
(mensagens telefônicas, conhecidas como 'torpedos') ou qualquer outro tipo de comunicação eletrônica instantânea (por exemplo, WhatsApp, Viber, Kakao e outros) encontram-se inseridos no poder de direção do
empregador.3
Todavia, a obtenção de ordem judicial é recomendável, para
prevenir futura e eventual declaração de nulidade na colheita da
prova (teoria dos frutos da árvore envenenada – fruits of the
poisonous tree).
Se,
eventualmente, algum arquivo de ordem pessoal, pertencente à esfera
de intimidade e/ou privacidade do empregado, estiver erroneamente
alocado na área corporativa e for acessado, o conteúdo deverá ser
desconsiderado e descartado.
O e-mail
corporativo é ferramenta de trabalho fornecida pela empresa e seu
monitoramento não viola a intimidade ou a privacidade do empregado,
ainda que o acesso seja feito a partir de um dispositivo pessoal a
partir do qual adentra-se ao ambiente corporativo. Tenha-se em mente,
também, a responsabilidade civil objetiva do empregador em relação
a seus empregados, serviçais e prepostos (Constituição Federal,
art. 5º, XII; Código Civil, arts. 932, III e 933, CLT, art. 2º).4
O trabalho na
sede do empregador e o realizado à distância têm idêntico
tratamento legal, desde a alteração da Consolidação das Leis do
Trabalho havida em 2011.5
Pode haver reflexos no que concerne ao pagamento de sobrejornada,
apenas quando se caracterizar o estado de sobreaviso. Vale dizer, o
só fato de o empregado usar celular ou acessar e-mails fora do
horário de expediente não gera pagamento de horas extraordinárias,
observado o disposto no artigo 62 da CLT.6
BYOD
e a proteção dos dados
Do
ponto de vista do
usuário, a chave de proteção contra a violação aos dados e
informações pessoais, pertencentes
à esfera da privacidade e da intimidade, pode ser a organização de
documentos, fotos e outros arquivos em subpastas, com utilização de
uma criptografia diferente da utilizada pela empresa para proteger os
dados e informações profissionais, que, por óbvio, poderá ser
quebrada pela empresa num clique.
Adotar
criptografia independente significa não permitir a exposição de
dados pessoais à vigilância e impedir o monitoramento do
empregador, implantando uma arquitetura própria de controle. Talvez
essa seja a medida mais simples e mais eficaz de segregar os dados
pessoais dos profissionais e proteger a privacidade.
Em caso de
suspeita de crime cometido a partir do device,
importante destacar que a Lei nº 9.296/96, que regulamenta a
interceptação telefônica e
a de dados, só se aplica
a crimes apenados com reclusão (art.
2º, inciso III). Não pode ser deferida a interceptação
telemática, por exemplo, em relação a condutas que configurem, em
tese, crimes contra a honra (CP, arts. 138, 139 e 140 - calúnia,
injúria simples e difamação, exceto injúria real), violação de
segredo profissional (CP, art. 154), violação de sigilo funcional
(art. 325) ou assédio sexual (art. 216-A).
Quanto à
proteção dos dados contidos nos dispositivos, ainda há que se
destacar o entendimento no sentido de que a empresa pode adotar
certas práticas, recomendando-se sempre que estejam previamente
registradas na política de segurança da informação, nos
regulamentos da empresa ou em contrato especial de trabalho. A
propriedade dos dados e da informação é da empresa.
A organização
pode, por exemplo, ter acesso ao conteúdo corporativo armazenado no
dispositivo, sendo legítimo apagar dados remotamente (wipe)
no caso de perda ou roubo do dispositivo, ou demissão/desligamento
do usuário. Considere-se que, a cada ano, 70 milhões de celulares
são perdidos ou roubados - e só 7% são recuperados.7
Pode, também,
fazer com que o empregado se comprometa a submeter o dispositivo a
técnicas de apagamento de dados por ocasião da troca de aparelho,
para que não haja possibilidade de um terceiro de má fé recuperar
dados que são de propriedade da empresa. É perfeitamente possível,
ainda, que sejam especificados os aplicativos que podem (devem), ou
não, ser usados e eleger níveis de autorização para acesso.
Tais
procedimentos, desde que ajustados entre as partes, têm ampla
sustentação e fundamento na doctrine
of inevitable disclosure,
pelo qual as pessoas ficam obrigadas ao sigilo das informações
sigilosas ou confidenciais que obtiverem por força do contrato de
trabalho.8
Conclusões
Cada
um de nós é um consumidor que faz escolhas. Esse fenômeno é a
consumerização,
que é a a tendência de os consumidores de dispositivos procurarem
estar up-to-date com os lançamentos de mercado e sempre atualizados
com os novos modelos e tecnologias.
O
BYOD
(Bring
Your Own Device)
é a preferência pela utilização de dispositivos pessoais para
fins profissionais. Estima-se, atualmente, que 90% dos empregados e
colaboradores utilizem seus próprios dispositivos a serviço da
empresa.
O modelo
tradicional de estrutura tecnológica organizacional importa em que
os equipamentos adquiridos para o desenvolvimento da atividade
empresarial tenham sua propriedade registrada no nome da empresa e
que os custos da utilização também sejam por ela suportados.
No BYOD, a
propriedade do dispositivo é do usuário/empregado, que o escolhe
livremente. Na qualidade de dono do device, é ele quem arca
com os custos de manutenção, suporte técnico, energia, conexão e
reposição em caso de furto, roubo ou perda, além da
corresponsabilidade pela segurança da informação.
Muitas
organizações têm observado o cuidado de elaborar um regulamento
predefinido e uma política de utilização rígida e abrangente,
devendo o empregado aderir expressamente a um termo de uso ou, ao
menos, demonstrar ter inequívoco conhecimento das políticas
adotadas.
Ao admitir a
prática do BYOD, a organização deverá concentrar uma forte
política de Data Loss Protection. Nesse contexto, a
criptografia assume relevância como um dos mais importantes
aspectos a ser observados, muito especialmente quando o armazenamento
dos dados é feito na nuvem (cloud computing). Outros
elementos de arquitetura de rede poderão ser adotados.
A empresa pode
ter pleno acesso a conteúdos que digam respeito aos assuntos
corporativos. O conteúdo e monitoramento dos e-mails profissionais e
mensagens eletrônicas (SMS, MSN) pode ser acessado direta ou
remotamente pelo empregador, como rotina de segurança, assim como os
arquivos de texto, áudio e imagem localizados no ambiente
corporativo.
Não há
diferença entre o trabalho na sede do empregador e o realizado à
distância, podendo haver reflexos no pagamento de sobrejornada
apenas quando se caracterizar o estado de sobreaviso. O fato de o
empregado usar celular ou acessar e-mails fora do horário de
expediente não gera pagamento de horas extraordinárias.
Do
ponto de vista do
usuário, a chave de proteção contra a violação aos dados e
informações pessoais, pertencentes
à esfera da privacidade e da intimidade, pode ser a organização de
documentos, fotos e outros arquivos em subpastas, com utilização de
uma criptografia diferente da utilizada pela empresa,
implantando uma arquitetura própria de controle.
Para
a proteção dos dados contidos nos dispositivos, a empresa pode
adotar certas práticas, recomendando-se sempre que estejam
previamente registradas na política de segurança da informação,
nos regulamentos da empresa ou em contrato especial de trabalho. A
propriedade dos dados e da informação é da empresa e esses
procedimentos de segurança, desde que ajustados entre as partes, têm
ampla sustentação e fundamento na doctrine
of inevitable disclosure.
Notas:
Notas:
1 Pastoral Ideas for a BYOD School. Rubens, Linda. Orewa College, 2013. E-book disponível em https://itunes.apple.com/nz/book/pastoral-ideas-for-byod-school/id594414038?mt=11
2 BYOD: uma perspectiva global aproveitando a inovação liderada pelo funcionário. Íntegra da pesquisa disponível emhttp://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf <acesso em 29.6.2013>
3 TST, 1ª Turma, RR-613/2000-013-10-00, Rel. Min. João Oreste Dalazen, DJ de 10/06/05.
4 TST: 3ª Turma, RR 269-80.2010.5.09.0594, julgamento 10/04/2013, Rel. Min. Alberto Luiz Bresciani de Fontan Pereira, publ. DEJT 12/04/2013; RR 1088-17.2010.5.09.0594, julgamento 12/06/2013, Rel. Min. Alberto Luiz Bresciani de Fontan Pereira, publ. DEJT 14/06/2013.
5 CLT, art. 6º: Não se distingue entre o trabalho realizado no estabelecimento do empregador, o executado no domicílio do empregado e o realizado a distância, desde que estejam caracterizados os pressupostos da relação de emprego. (Redação dada pela Lei nº 12.551, de 2011)
Parágrafo único. Os meios telemáticos e informatizados de comando, controle e supervisão se equiparam, para fins de subordinação jurídica, aos meios pessoais e diretos de comando, controle e supervisão do trabalho alheio. (Incluído pela Lei nº 12.551, de 2011)
6 Estudo da iPass em 2012 estimou que empregados adeptos do BYOD trabalhavam cerca de 5 a 20 horas extraordinárias por semana. Veja emhttp://www.automationworld.com/byod-really-hot-topic#sthash.l7Tje1sh.dpuf
7 http://www.druva.com/blog/the-rise-and-risk-of-byod/ - acesso em 30/6/2013.
REFERÊNCIAS
BIBLIOGRÁFICAS
Material de consulta e Sites
acessados:
Pastoral Ideas for a BYOD School.
Rubens, Linda. Orewa College, 2013. E-book
https://itunes.apple.com/nz/book/pastoral-ideas-for-byod-school/id594414038?mt=11
Securing the mobile forcework -
e-book
BYOD-fierce_mobile_eBook.pdf
BYOD and Beyond: implementing a
unified access solution - e-book
BYOD_021413_BOOKMARKED FINAL.pdf
BYOD: uma perspectiva global
aproveitando a inovação liderada pelo funcionário.
http://www.cisco.com/web/about/ac79/docs/re/byod/BYOD_Horizons_Global_PTBR.pdf
<acesso em 29.6.2013>
The Security, Privacy and Legal
Implications of BYOD (Bring Your Own Device), por David Navetta
Guia
realista para o BYOD: Entenda por que o conceito de trazer o seu
próprio dispositivo continuará uma tendência crescente nos
próximos anos
- Bob Lewis
BYOD
na prática, Cézar Taurion
The Tem Commandments
of BYOD
http://www.civilserviceworld.com/byod-the-key-questions-answered/
- acesso em 3/7/2013
Parabéns pelo Post, ficou muito bom mesmo.
ResponderExcluirParabéns, muito bom e explicativo este Post !!
ResponderExcluir